Fieles a su cita el segundo martes de cada mes, los parches de seguridad de Microsoft ya están disponibles para su descarga desde el pasado 8 de mayo. Junto a estas actualizaciones también se han publicado las correspondientes a los productos de Adobe, y se suman a las lanzadas por Google para su sistema Android la semana pasada.
Corrección de dos 0day graves en Windows
Entre las más de 60 vulnerabilidades que fueron parcheadas por Microsoft en sus boletines de mayo, encontramos dos que algunos expertos como Sergio de los Santos han calificado acertadamente como «tormenta perfecta».
La primera de estas vulnerabilidades con CVE-2018-8174 es una ejecución remota de código provocada por un fallo en el motor de Windows VBScript, algo que podría permitir a un atacante la ejecución de código arbitrario. Tal y como explicó Microsoft en el boletín de seguridad, si el atacante consigue explotar la vulnerabilidad podría ganar los mismos permisos en el sistema que el usuario que estuviese registrado en ese momento. En demasiadas ocasiones estos permisos son los de administrador, lo que permitiría al atacante tomar el control del sistema por completo.
El peligro de esta vulnerabilidad es que un atacante puede aprovecharla simplemente haciendo que los usuarios visiten un sitio web malicioso o uno legítimo que haya sido comprometido. Se podría explotar incluso a través de anuncios maliciosos o a través de documentos de Office modificados que incluyesen el motor de renderizado de Internet Explorer.
En el caso de que el atacante consiguiese acceder a un sistema pero sin permisos de administrador, existe la posibilidad de utilizar una segunda vulnerabilidad crítica catalogada como CVE-2018-8120 para realizar una elevación de privilegios, vulnerabilidad que ya se ha observado siendo utilizada activamente. En esta ocasión, las versiones más modernas de Windows no se ven afectadas, ya que el parche ha sido lanzado para Windows 7, Server 2008 y Server 2008 R2.
La combinación de estas dos vulnerabilidades permitirían, primero, acceder a un sistema vulnerable con los permisos del usuario registrado en ese momento, y en el caso de no tener permisos suficientes, obtenerlos para tomar el control del sistema y ejecutar código malicioso. Por estos motivos, y porque ya se han observado ataques utilizando estas vulnerabilidades, es importante aplicar los parches de seguridad lo antes posible.
Vulnerabilidad crítica en Flash Player
Como viene siendo costumbre, Adobe ha publicado sus boletines de seguridad junto a los de Microsoft y, como también viene siendo tradición, ha solucionado una vulnerabilidad crítica con código CVE-2018-4944 en Flash Player. No se han proporcionado detalles, pero se sabe que este fallo permitiría a un atacante la ejecución arbitraria de código con los permisos del usuario registrado en ese momento.
Esta vulnerabilidad se encuentra presente en varias versiones de Adobe Flash Player, incluyendo Flash Player Desktop Runtime y Flash Player para Google Chrome para Windows, Mac y Linux, y Flash Player para Microsoft Edge e Internet Explorer 11 para Windows 10 y Windows 8.1. Adobe recomienda actualizar a las versiones más recientes de su producto para evitar verse afectados.
También se han corregido vulnerabilidades en Adobe Creative Cloud y en Adobe Connect que permitirían la elevación de privilegios y la filtración de información confidencial, por lo que se recomienda actualizar lo antes posible estas aplicaciones.
Parches adicionales para Meltdown en Android
Por su parte, a principios de mes Google publicó su tradicional boletín de seguridad para el sistema Android, en el que solucionaba numerosas vulnerabilidades relacionadas tanto con Meltdown como con componentes de varios fabricantes (Nvidia o Qualcomm entre ellos).
Según indica Google en su boletín, la más grave de estas vulnerabilidades se encuentra en el Media Framework, y podría permitir a un atacante remoto la ejecución de código arbitrario en el contexto de un proceso con privilegios usando un archivo específicamente modificado. No obstante, no se han detectado casos en que esta vulnerabilidad esté siendo activamente explotada
Por lo que respecta a las vulnerabilidades en componentes del Kernel, su explotación por parte de un atacante podría permitir que aplicaciones maliciosas se saltaran las protecciones que implementa el sistema operativo y que se encargan de aislar los datos entre aplicaciones.
Se recomienda instalar estos parches de seguridad a todos aquellos usuarios que reciban actualizaciones directamente a través de Google o del fabricante de su dispositivo. El problema, no obstante, es que muchos usuarios de Android no reciben estas actualizaciones y, por tanto, sus dispositivos se encuentran a merced de los atacantes.
Conclusión
Un mes más hemos tenido nuestra ronda habitual de actualizaciones de seguridad, actualizaciones que deberíamos instalar lo antes posible en entornos domésticos y empezar a probar en entornos controlados dentro de redes corporativas para su aplicación en el menor tiempo posible.
Recordemos que hace un año la lentitud a la hora de implementar este tipo de actualizaciones hizo que el malware WannaCry hiciera estragos en los sistemas de empresas de todo el mundo, algo que debemos tratar de evitar que vuelva a pasar con todos los medios a nuestro alcance.