Actualizaciones de Seguridad Urgentes en Adobe
Adobe emite soluciones de emergencia para vulnerabilidades críticas en Photoshop, Bridge, Prelude, Reader Mobile. Los avisos de seguridad revelaron un total de 13 vulnerabilidades, 12 de las cuales se consideran críticas, ya que si se explotan, pueden conducir a la ejecución de código arbitrario.
Los productos afectados de estas vulnerabilidades críticas son los siguientes:
- Photoshop CC 2019 versiones 20.0.9 y anteriores.
- Photoshop 2020 versiones 21.2 y anteriores en máquinas con Windows. (CVE-2020-9683, CVE-2020-9686, CVE-2020-9684, CVE-2020-9685 y CVE-2020-9687)
- Adobe Bridge versiones 10.1.1 y anteriores tanto en Windows como en macOS. (CVE-2020-9675, CVE-2020-9674 y CVE-2020 -9676)
- Adobe Prelude en las versiones 9.0 y anteriores. (CVE-2020-9677, CVE-2020-9679, CVE-2020-9678 y CVE-2020-9680 )
- Adobe Reader Mobile en dispositivos móviles Android, versiones 20.0.1 y anteriores. (CVE-2020-9663)
Las correcciones por producto se pueden encontrar en los siguientes boletines de Adobe:
- Adobe Security Bulletin – Photoshop (APSB20-45)
- Adobe Security Bulletin – Bridge (APSB20-44)
- Adobe Security Bulletin – Prelude (APSB20-46)
- Adobe Security Bulletin- Reader Mobile (APSB20-50)
Más información:
Actualizaciones de seguridad de Microsoft – Agosto 2020
El 11 de agosto, Microsoft lanzó parches de seguridad para remediar alrededor de 120 vulnerabilidades en Microsoft Windows, Edge (EdgeHTML-based y Chromium-based), ChakraCore, Internet Explorer (IE), Microsoft Scripting Engine, SQL Server, .NET Framework, ASP.NET Core, Office and Office Services and Web Apps, Windows Codecs Library y Microsoft Dynamics.
En lo que va del año Microsoft ha lanzado parches para 862 vulnerabilidades, 11 más de lo registrado en todo 2019. Este volumen ejerce presión sobre el equipo de administración de parches, dado que de continuar al mismo ritmo hasta finalizar el año 2020 se habrán lanzado alrededor de 1300 parches de seguridad.
De los 120 parches, 17 tienen severidad crítica y 103 son calificados como importantes. A continuación, un detalle de las actualizaciones más interesantes de este mes:
CVE-2020-1380: Vulnerabilidad de daños en la memoria del motor de secuencias de comandos
Este error en IE está actualmente bajo ataque activo. Los atacantes podrían ejecutar su código en un sistema de destino si una versión afectada de IE visita un sitio web especialmente diseñado. No se sabe qué tan extensos son los ataques, pero es razonable asumir que hay malware involucrado dado que fue reportado por Kaspersky.
CVE-2020-1464 – Vulnerabilidad de suplantación de Windows
Este error de suplantación de identidad se conoce públicamente y actualmente se está explotando. Permite a un atacante cargar archivos firmados incorrectamente, sin pasar por la verificación de la firma. Este error afecta a todas las versiones compatibles de Windows.
CVE-2020-1472 – Vulnerabilidad de elevación de privilegios de NetLogon
Esta vulnerabilidad crítica en Netlogon Remote Protocol (MS-NRPC) podría permitir a los atacantes ejecutar aplicaciones de la víctima en un dispositivo de la red. Un atacante no autenticado usaría MS-NRPC para conectarse a un controlador de dominio (DC) para obtener acceso administrativo. Al momento, no existe una solución completa disponible. Este parche permite a los controladores de dominio proteger los dispositivos, pero un segundo parche programado para el primer trimestre de 2021 impone una llamada a procedimiento remoto (RPC) segura con Netlogon para abordar completamente el error. Después de aplicar este parche, se deben realizar cambios en el DC. Microsoft publicó pautas para ayudar a los administradores a elegir la configuración correcta.
CVE-2020-1585 – Vulnerabilidad de ejecución remota de código de la biblioteca de codecs de Microsoft Windows
Este error permite la ejecución de código si un atacante puede convencer a un usuario de que vea un archivo de imagen especialmente diseñado. El codec “AV1 Video Extension” se ve afectado y solo está disponible a través de la Tienda Windows. El codec no es un componente predeterminado, por lo que, si los sistemas están fuera de línea, es poco probable que tenga el codec instalado.
CVE-2020-1530 – Vulnerabilidad de elevación de privilegios de acceso remoto de Windows
Existe una vulnerabilidad de elevación de privilegios cuando el acceso remoto de Windows maneja la memoria de manera incorrecta. Para aprovechar esta vulnerabilidad, un atacante primero tendría que obtener la ejecución en el sistema de la víctima. Un atacante podría ejecutar una aplicación especialmente diseñada para elevar los privilegios. La actualización de seguridad remedia la vulnerabilidad dado que corrige la forma en que Windows Remote Access maneja la memoria.
Se recomienda realizar las actualizaciones de seguridad que se encuentran disponibles en una tabla dinámica y filtrable en el portal oficial de Microsoft.
Referencias:
Actualización de Seguridad en Android – Corrección de vulnerabilidad RCE con severidad alta
Android ha lanzado parches en boletín de seguridad de Agosto que contiene detalles de 54 fallos de seguridad con severidad alta. El más grave de estos problemas es una vulnerabilidad de severidad alta en el componente Framework que podría permitir a un atacante remoto utilizar un archivo especialmente diseñado para ejecutar código arbitrario en el contexto de un proceso sin privilegios.
Otras fallas de alta gravedad en el boletín incluyen dos vulnerabilidades de elevación de privilegios (EoP) (CVE-2020-0238 y CVE-2020-0257), tres fallas de divulgación de información (CVE-2020-0239, CVE-2020-0249 y CVE-2020-0258) y una falla de denegación de servicio (DoS) (CVE-2020-0247).
También se corrigieron cuatro fallas de alta gravedad en el área del sistema Android, incluidos dos problemas de EoP (CVE-2020-0108 y CVE-2020-0256) y dos fallas de divulgación de información (CVE-2020-0248 y CVE-2020-0250). Estos «podrían permitir que una aplicación maliciosa local eluda los requisitos de interacción del usuario para obtener acceso a permisos adicionales«, según Android.
Los dispositivos con Android 10 y posteriores pueden realizar actualizaciones de seguridad, así como actualizaciones del sistema Google Play según la página de soporte de Google.
Para saber cómo verificar el nivel de parche de seguridad de un dispositivo, se puede consultar en la página de soporte «Verificar y actualizar su versión de Android».
Más información:
Vulnerabilidad crítica en TeamViewer para Windows permitiría a un atacante remoto robar la contraseña del sistema
El equipo de TeamViewer lanzó recientemente una nueva versión de su software que incluye un parche para la vulnerabilidad bajo ID CVE 2020-13699, en caso de que sea explotada, podría permitir que atacantes remotos roben la contraseña del sistema y eventualmente lo comprometan.
La criticidad de la vulnerabilidad radica en que para ser explotada no requiere de mayor interacción con las víctimas, solo es necesario convencerlas de visitar una página web maliciosa una vez.
La vulnerabilidad reside en la forma en que TeamViewer cita sus controladores URI personalizados. En términos simples, un atacante puede aprovechar el esquema de URI de TeamViewer desde una página web para engañar a la aplicación instalada en el sistema de la víctima para que inicie una conexión con el recurso compartido SMB remoto del atacante.
El primer paso desencadena el ataque de autenticación SMB, filtra el nombre de usuario del sistema y la versión en hash NTLMv2 de la contraseña y la envía a los atacantes, lo que les permite usar las credenciales robadas para autenticarse en la computadora o los recursos de red de las víctimas.
La vulnerabilidad, categorizada como ‘Controlador de URI sin comillas‘, afecta a los controladores de URI teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocalln1, y tvVideopn1.
El equipo de TeamViewer corrigió la vulnerabilidad citando los parámetros pasados por los controladores de URI afectados, por ejemplo, URL: teamviewer10 Protocolo «C: \ Archivos de programa (x86) \ TeamViewer \ TeamViewer.exe» «% 1».
A pesar de que la vulnerabilidad no está siendo explotada de manera activa por ahora, debido a la popularidad de TeamViewer entre los usuarios, siempre ha sido objetivo de interés para los atacantes.
Se recomienda actualizar TeamViewer a la versión 15.8.3, lo antes posible, dado que es cuestión de tiempo para que los atacantes exploten esta vulnerabilidad y así comprometer sistemas Windows.
Para mayor información:
- https://community.teamviewer.com/t5/Announcements/Statement-on-CVE-2020-13699/m-p/99129
- https://community.teamviewer.com/t5/Change-Logs/Windows-v15-8-3-Change-Log/td-p/98445
- https://blog.segu-info.com.ar/2020/08/vulnerabilidad-critica-en-teamviewer.html?m=1
Fallo permitía decifrar el password de reuniones en Zoom
Las reuniones de Zoom estaban protegidas por defecto con una contraseña numérica de 6 dígitos, lo que significa que existen aproximadamente 1 millón de contraseñas posibles como máximo.
Tom Anthony, vicepresidente de productos de SearchPilot, identificó recientemente una falla de seguridad que podría haber permitido a los atacantes potenciales descifrar el código de acceso numérico utilizado para asegurar reuniones privadas en la plataforma y espiar a los participantes.
Anthony informó el problema de seguridad a la compañía , junto con un script de prueba de concepto basado en Python, una semana después de la cual Zoom corrigió la falla. El script se aprovechaba de la ausencia de comprobaciones de intentos repetidos de contraseña incorrecta, y demostraba que un atacante puede aprovechar el cliente web de Zoom (https://zoom.us/j/MEETING_ID) para enviar continuamente solicitudes HTTP para probar el millón de combinaciones.
Después de recibir el reporte de Anthony, Zoom eliminó el cliente web a partir del 2 de abril para abordar la vulnerabilidad.
Una semana después, Zoom abordó el problema de la limitación de la tasa de intentos de contraseña al «requerir que un usuario inicie sesión para unirse a las reuniones en el cliente web y actualizar las contraseñas predeterminadas de las reuniones para que sean no numéricas y más largas». Luego de las correcciones realizadas Zoom subió nuevamente el cliente web. Con estas correcciones, el problema se resolvió por completo y no se requirió ninguna acción por parte del usuario.
Más información:
Actualizaciones de seguridad para Google Chrome.
Google ha lanzado la versión 84.0.4147.105 de Chrome para Windows, Mac y Linux.
En esta versión se remedian las vulnerabilidades registradas bajo los ID CVE-2020-6537, CVE-2020-6538, CVE-2020-6532, CVE-2020-6539, CVE-2020-6540 y CVE-2020-6541 que permitían a un atacante ejecutar código remoto arbitrario y además activar una denegación de servicio del sistema afectado. Al momento no existen exploits publicados para estas vulnerabilidades.
Telconet como proveedor de servicios de telecomunicaciones, consciente de la importancia de resguardar integridad y disponibilidad de su red, recomienda:
- Actualizar su navegador Chrome a la versión 84.0.4147.105 con carácter inmediato.
En la página oficial de Google Chrome para ayuda a usuarios, indica que las actualizaciones se realizan en segundo plano de manera automática, sin embargo se recomienda confirmar la versión actual de su navegador en la siguiente ruta:
Más (Tres puntos verticales en la esquina superior derecha) –> Ayuda –> Información de Google Chrome.
Para mayor información:
– https://chromereleases.googleblog.com/2020/07/stable-channel-update-for-desktop_27.html
– https://www.techspot.com/downloads/4718-google-chrome-for-windows.html
– https://www.tenable.com/plugins/nessus/139001
5 vulnerabilidades severas del router D-Link reveladas.
La compañía D-Link ha revelado cinco vulnerabilidades graves en algunos de sus modelos de routers, lo que podría permitir un grave compromiso de la red. Además, algunos dispositivos han alcanzado su fase de «final de la vida útil», lo que significa que no serían parcheados.
Las vulnerabilidades reportadas por el equipo de ACE – Loginsoft incluyen ataques reflejados de Cross-Site Scripting (XSS), desbordamientos de búfer para obtener credenciales de administrador, omitir la autenticación por completo y ejecutar código arbitrario.
Cualquier atacante con acceso a la página de administración del enrutador puede llevar a cabo dichos ataques incluso si no conoce las credenciales de administrador.
Para la mayoría de las configuraciones, el atacante debería estar presente en la misma red que el enrutador para acceder a la interfaz de administración web del enrutador.
Se vuelve mucho más problemático para aquellos usuarios que permiten el acceso remoto a la interfaz de administración web del enrutador D-Link.
Si la interfaz de administración remota está habilitada, todo lo que un atacante remoto debería hacer es realizar una solicitud simple a la dirección IP pública del enrutador, omitir la autenticación y hacerse cargo del dispositivo y la red.
Respuesta de D-Link
En un aviso exhaustivo que cubre todos los CVE, D-Link lanzó una lista de todas las versiones de firmware y dispositivos de hardware vulnerables.
Algunas de las vulnerabilidades se informaron tan pronto como el 9 de febrero de 2019, según D-Link, mientras que algunas de las advertencias de Loginsoft se remontan a marzo de 2020.
Sin embargo, los 5 CVE solo se han revelado públicamente el 22 de julio de 2020, según NVD.
Para más información:
- https://www.bleepingcomputer.com/news/security/5-severe-d-link-router-vulnerabilities-disclosed-patch-now/
- https://nvd.nist.gov/vuln/detail/CVE-2020-15892
- https://nvd.nist.gov/vuln/detail/CVE-2020-15893
- https://nvd.nist.gov/vuln/detail/CVE-2020-15894
- https://nvd.nist.gov/vuln/detail/CVE-2020-15895
- https://nvd.nist.gov/vuln/detail/CVE-2020-15896
- https://legacyfiles.us.dlink.com/DAP-1520/REVA/FIRMWARE/DAP-1520_REVA_FIRMWARE_1.10B04_BETA.zip
Múltiples vulnerabilidades en Moodle
La plataforma de aprendizaje Moodle, ha realizado recientemente una publicación sobre la detección y correción de múltiples vulnerabilidades de severidad alta y media.
La siguientes vulnerabilidades de severidad alta deben ser solventadas mediante la actualización a las versiones 3.9.1, 3.8.4, 3.7.7 y 3.5.13.
CVE-2020-14320: Vulnerabilidad en el filtro de registro de tareas, aumentaba el riesgo de un ataque XSS reflejado.
- Versiones afectadas: 3.9, 3.8 a 3.8.3 y 3.7 a 3.7.6
CVE-2020-14321: Permitía a los usuarios con rol de profesor escalar al rol de manager.
- Versiones afectadas: 3.9, 3.8 a 3.8.3, 3.7 a 3.7.6, 3.5 a 3.5.12 y todas las versiones previas sin soporte.
CVE-2020-14322: No tener un límite en la carga de archivos a la plataforma, aumentaba el riesgo de un ataque de denegación de servicio.
- Versiones afectadas: 3.9, 3.8 to 3.8.3, 3.7 a 3.7.6, 3.5 to 3.5.12 y todas las versiones previas sin soporte.
La vulnerabilidad de severidad media registrada con el identificador CVE-2019-11358, hace referencia a una versión de JQuery obsoleta que aumentaba el riesgo de contaminación. Las versiones afectadas desde la 3.8 a la 3.8.3, deben ser actualizadas a las versiones 3.8.4 y 3.9.
Se recomienda gestionar con sus proveedores la actualización de Moodle a las versiones no vulnerables disponibles.
Referencias:
- https://moodle.org/security/index.php?o=3&p=0
- https://moodle.org/mod/forum/discuss.php?d=407394
- https://moodle.org/mod/forum/discuss.php?d=407393
- https://moodle.org/mod/forum/discuss.php?d=407392
- https://moodle.org/mod/forum/discuss.php?d=407391
- https://www.incibe-cert.es/en/node/160719
Nuevas Actualizaciones de Seguridad en Apple
Apple ha lanzado actualizaciones de seguridad que remedian múltiples vulnerabilidades en múltiples productos, las cuales podrían permitir que un atacante tome el control de un sistema afectado.
Las actualizaciones también remedian vulnerabilidades reportadas en el Kernel, como la vulnerabilidad con identificador CVE-2019-14899 publicada el año pasado, que permite a un punto de acceso malicioso, o un usuario adyacente, determinar si un usuario conectado está utilizando una VPN, hacer inferencias positivas sobre los sitios web que está visitando, y determinar la secuencia correcta y los números de reconocimiento en uso, permitiendo al actor malo inyectar datos en la secuencia TCP. Esto proporciona todo lo necesario para que un atacante secuestre conexiones activas dentro del túnel VPN.
Para conservar la seguridad de los productos Apple, es muy importante mantener actualizado el software. Se recomienda los usuarios y administradores revisar las páginas de publicación de Apple para los siguientes productos y aplicar las actualizaciones necesarias:
- La versión más reciente de iOS y iPadOS es 13.6. Se puede obtener mayor información en cómo actualizar el software en el iPhone, iPad o iPod touch.
- La versión más reciente de macOS es 10.15.6. Se puede obtener mayor información en cómo actualizar el software en tu Mac y cómo permitir que se descarguen las actualizaciones en segundo plano.
- La versión más reciente de tvOS es 13.4.8. Se puede obtener mayor información en cómo actualizar el software en el Apple TV.
- La versión más reciente de watchOS es 6.2.8. Se puede obtener mayor información en cómo actualizar el software en el Apple Watch.
Ten presente que no se pueden deshacer las actualizaciones de software de iOS, iPadOS, tvOS y watchOS.
Mas Información:
Vulnerabilidad RCE CRÍTICA que afecta a Servidores Windows desde hace 17 años
La falla de ejecución remota de código de 17 años (CVE-2020-1350), denominada ‘SigRed’ por Check Point, podría permitir que un atacante remoto no autenticado pueda ejecutar código arbitrario y llegue a obtener privilegios de administrador de dominio sobre servidores específicos y tome el control completo de la infraestructura de TI de una organización .
La vulnerabilidad existe en los servidores DNS Windows cuando no pueden manejar correctamente las solicitudes. Este problema resulta de una falla en la implementación del rol del servidor DNS de Microsoft y afecta a todas las versiones de Windows Server. Los servidores DNS que no son de Microsoft no se ven afectados.
Microsoft lanzó una actualización para el CVE-2020-1350, que está clasificado como una vulnerabilidad «wormable» y tiene un puntaje base de CVSS de 10.0. La actualización corrige la vulnerabilidad al modificar la forma en que los servidores DNS de Windows manejan las solicitudes.
Las vulnerabilidades «wormable» tienen el potencial de propagarse a través de malware entre computadoras vulnerables sin la interacción del usuario. Windows DNS Server es un componente de red central. Si bien actualmente no se sabe que esta vulnerabilidad se use en ataques activos, es esencial que los clientes apliquen las actualizaciones de Windows para abordar esta vulnerabilidad lo antes posible.
Si aplicar la actualización rápidamente no es práctico, hay disponible una solución alternativa basada en el registro que no requiere reiniciar el servidor. La actualización y la solución se detallan en la publicación del CVE-2020-1350 de Microsoft.
Para más información:
- https://thehackernews.com/2020/07/windows-dns-server-hacking.html?m=1#click=https://t.co/Qoode1dizp
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
- https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/
- https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability