Vulnerabilidades críticas de Microsoft

14 de enero de 2020: Hoy Microsoft lanzó sus parches mensuales, entre ellos tres problemas críticos de gravedad 1 que requieren su atención inmediata. Las empresas deben implementar el Proceso de Gestión de Alertas de Vulnerabilidad para clasificar estas alertas y planificar la aplicación de parches lo antes posible. Por favor, consideren este aviso especial del blog de CyberHoot como una circunstancia muy inusual y tomen las medidas pertinentes lo antes posible. Para poner esto en perspectiva, todas mis fuentes de ciberseguridad sugieren lo mismo. Las entidades gubernamentales de vigilancia de la ciberseguridad, como CISA, emitieron solo su segundo... Directiva de emergencia siempre por estas vulnerabilidades.  Esto es serio.

Sistemas afectados:

Vulnerabilidad de suplantación de CryptoAPI – CVE-2020-0601: Esta vulnerabilidad afecta a todas las máquinas que ejecutan sistemas operativos Windows 32 de 64 o 10 bits, incluidas las versiones 2016 y 2019 de Windows Server.

Vulnerabilidades de la puerta de enlace de Escritorio remoto de Windows y del cliente de Escritorio remoto de Windows: CVE-2020-0609, CVE-2020-0610 y CVE-2020-0611: Estas vulnerabilidades afectan a Windows Server 2012 y versiones posteriores. Además, CVE-2020-0611 afecta a Windows 7 y versiones posteriores. 

Impacto de vulnerabilidad:

Esta sección del aviso describe el impacto potencial si se explotaran estas vulnerabilidades.

Vulnerabilidad de suplantación de CryptoAPI – CVE-2020-0601:

• Esta vulnerabilidad permite que software no deseado o malicioso se haga pasar por software legítimo, firmado auténticamente por una organización de confianza. Esto podría inducir a los usuarios a instalar software malicioso aparentemente legítimo. También podría impedir que programas de protección, como los antivirus, detecten dichas instalaciones como maliciosas. Además, los navegadores que utilizan Windows CryptoAPI quedarían indetectables ante los ataques, lo que permitiría a un atacante descifrar, modificar o inyectar datos en las conexiones de los usuarios sin ser detectado.

Vulnerabilidades de la puerta de enlace de Escritorio remoto de Windows y del cliente de Escritorio remoto de Windows: CVE-2020-0609, CVE-2020-0610 y CVE-2020-0611: 

• Estas vulnerabilidades permiten la ejecución remota de código, donde código arbitrario podría ejecutarse libremente tanto en la puerta de enlace web de Escritorio remoto como en cualquier cliente que se conecte a una puerta de enlace maliciosa. Las vulnerabilidades del servidor no requieren autenticación.lo cual es realmente malo] o la interacción del usuario, y puede explotarse mediante una solicitud especialmente diseñada. La vulnerabilidad del cliente puede explotarse convenciendo a un usuario para que se conecte a un servidor malicioso. Al combinarse, cualquier puerta de enlace web de Escritorio remoto puede convertirse en un servidor malicioso que, a su vez, controla todos los equipos cliente conectados. [¿Dije que esto era realmente malo?]

¿Hay alguna buena noticia?

De hecho sí.¡Uf!Estas vulnerabilidades fueron descubiertas y reportadas, por primera vez, por la NSA directamente a Microsoft. Esto significa que tenemos un margen de tiempo muy limitado para aplicar estos parches sin un gran riesgo de vulnerabilidad.

Sin embargo, una ventana muy pequeña de tiempo en Internet podría significar días o semanas. 

¿Por qué preguntas eso? 

Al analizar los parches que Microsoft lanzó hoy, los cibercriminales pueden identificar rápidamente qué código se modificó. Los parches son como un mapa del tesoro que los hackers pueden seguir, a través de los cambios en el código fuente y aplicando ingeniería inversa, hasta encontrar la vulnerabilidad. Luego, los utilizan como arma. it Mientras hablamos, hay una carrera en marcha para identificar y convertir estas vulnerabilidades en armas por parte de estados nacionales y grupos de hackers. Tenemos días, quizás semanas, antes de que estas vulnerabilidades se conviertan en armas y comiencen a explotar sus sistemas.

¿Qué debo hacer por mi negocio?

1. Si tiene un proceso de gestión de alertas de vulnerabilidad, siga sus pautas para un conjunto de vulnerabilidades de gravedad 1.
2. Hasta que haya parcheado todos sus sistemas, controle los blogs de noticias sobre ciberseguridad para detectar cualquier señal de que un código de explotación esté ingresando al sistema.
3. Si no tiene un VAMP, reúna a su(s) equipo(s) técnico(s) y elabore un plan para parchear todos sus sistemas críticos dentro de 10 días (antes si es posible).
4. Para aquellos de ustedes que no tienen un proceso definido de administración de parches, una vez que hayan completado este simulacro, deberían Regístrate en CyberHoot, descarga nuestro VAMP y adáptalo a tu organización.

¿Qué debo hacer por mí personalmente?

El número de versión de Windows puede variar, pero esta es la actualización que desea: vaya a Configuración > Actualización y seguridad > Windows Update:

Referencias Artículos:

https://cyber.dhs.gov/ed/20-02/ 

https://www.us-cert.gov/ncas/alerts/aa20-014a

Blog de noticias sobre ciberseguridad de Brian Krebs

Blog de ciberseguridad de Sophos: Vulnerabilidades críticas de Microsoft: parches ahora

¿Está haciendo lo suficiente para proteger su negocio?

Regístrate hoy en CyberHoot y duerme mejor sabiendo que tu

¡Los empleados están capacitados en ciberseguridad y en guardia!

¡Suscríbete hoy!