Microsoft ha lanzado el martes pasado el resumen de las actualizaciones de seguridad, conocido como «Microsoft Patch Tuesday», el cual abordó 22 vulnerabilidades de ejecución remota de código (RCE). En total, Microsoft reparó 58 fallos de seguridad, de los cuales 9 fueron calificados como críticos.
Entre los productos Microsoft afectados por los fallos de seguridad con la calificación más alta y los que tienen más probabilidades de ser explotados se encuentran Microsoft Dynamics, Microsoft Edge, Microsoft Exchange Server, Microsoft Office SharePoint y Windows Hyper-V.
- Windows Hyper-V: Afectado por el fallo crítico rastreado como CVE-2020-17095, una vulnerabilidad de RCE que permite a un atacante escalar privilegios desde la ejecución de código en un invitado de Hyper-V a la ejecución de código en el host de Hyper-V pasando un paquete vSMB no válido. La falla tiene la puntuación CVSS más alta en la actualización, llegando a 8.5, ya que no se necesitan permisos especiales para explotarla.
- Exchange Server: Se ve afectado por tres vulnerabilidades críticas (CVE-2020-17117, CVE-2020-17132 y CVE-2020-17142), las cuales permiten la ejecución remota de código (RCE). El fallo CVE-2020-17132 ocurre debido a una validación incorrecta de los argumentos del cmdlet, según Microsoft, que no proporciona un escenario de ataque, pero sí observa que el atacante necesita autenticarse con privilegios.
- Microsoft SharePoint: Afectado por dos errores críticos de RCE CVE-2020-17121 y CVE-2020-17118. El error CVE-2020-17121 podría permitir a un usuario autenticado ejecutar código .NET arbitrario en un servidor afectado en el contexto de la cuenta de servicio de la aplicación web de SharePoint.
- Microsoft Dynamics: Afectado por dos fallas de RCE posteriores a la autenticación identificadas como CVE-2020-17158 y CVE-2020-17152.
- Microsoft Edge: Afectado por un problema de corrupción de memoria en Chakra Scripting Engine (CVE-2020-17131).
El listado completo de vulnerabilidades resueltas y publicadas en el aviso de seguridad para actualizaciones «Microsoft Patch Tuesday» de diciembre de 2020 puede ser encontrado aquí.
Se recomienda a los administradores de sistemas y usuarios finales, aplicar las actualizaciones de seguridad, disponibles en el módulo Windows Update.
Referencia: