Microsoft ha lanzado esta semana un nuevo parche de
seguridad donde están acumulados los parches del mes actual, esto es conocido
como Patch Tuesday. En este parche de seguridad la compañía ha conseguido
solucionar 112 errores de seguridad en una variedad amplia de productos, desde
Microsoft Edge hasta Windows WalletService.
Entre los fallos de seguridad solucionados en este parche
está una vulnerabilidad Zero-Day de Windows la cual se encuentra en explotación
In-the-wild. La vulnerabilidad identificada como CVE-2020-17087 fue revelada
por los equipos de seguridad Google Project Zero y Tag el día 30 de octubre. Esta
vulnerabilidad Zero-Day está siendo explotada junto con otro Zero-Day en Chrome
y apunta principalmente a los usuarios de Windows 7 y Windows 10.
Los atacantes utilizarían el Zero-Day de Chrome para
conseguir ejecutar código malicioso dentro de Chrome y una vez inyectado el código
usarían el Zero-Day de Windows para escapar del Sandbox de Chrome (una zona de
prueba de la seguridad del navegador) y conseguir elevar los privilegios del
código para conseguir atacar el sistema operativo. Esta pequeña descripción es
la única información que ha ofrecido Microsoft sobre el ataque.
Google descubrió este Zero-Day a mediados del mes de octubre
e informo a Microsoft de este, indicándole a la compañía que tenía siete días para
lanzar un parche corrigiendo el error o bien Google lanzaría una noticia
informando sobre la existencia de esta vulnerabilidad. Debido al tiempo que requiere para probar y
ajustar una medida de seguridad en un sistema operativo Windows, el parche no
estuvo listo durante el periodo de tiempo que indico Google que tenía Microsoft
antes de divulgar la información. El parche está disponible a partir de esta última
actualización.
Según ha informado Microsoft, este Zero-Day reside en el
kernel de Windows e impacta a todas sus versiones, esto quiere decir que las
versiones anteriores a Windows 7 y todas las versiones de Windows Server
también se ven afectadas por esta vulnerabilidad.
Además de este Zero-Day de Windows, hay otras 111 vulnerabilidades
que deben ser parcheadas, entre estas vulnerabilidades encontramos 24 errores
que pueden permitir la ejecución de código remotamente (RCE) en aplicaciones
como Microsoft Teams, Windows Network, Sistema de archivos, Excel, Microsoft
Exchange Server, incluso en el servicio de cola de impresión de Windows.