Microsoft no ha faltado a su cita mensual lanzando sus boletines de seguridad el segundo martes del mes y solucionando varios agujeros de seguridad. Entre los parches publicados se encuentran los que solucionan dos vulnerabilidades 0-day que estaban siendo aprovechadas activamente en ataques dirigidos.
Vulnerabilidades 0-day solucionadas
La primera de estas vulnerabilidades aprovechadas por atacantes ha sido descubierta por nuestro compañero investigador en ESET Anton Cherepanov, se le ha asignado el código «CVE-2019-1132 – Win32k Vulnerabilidad de Elevación de Privilegios» y permitía a un atacante ejecutar código arbitrario en modo kernel para, seguidamente, instalar programas, ver, cambiar o borrar datos o crear nuevas cuentas con permisos completos de usuario.
Cherepanov descubrió un exploit para esta vulnerabilidad que estaba siendo utilizado en un ataque altamente dirigido en Europa del Este. Tras el descubrimiento, se avisó desde ESET a Microsoft inmediatamente para que pudieran solucionar la vulnerabilidad y lanzar un parche lo antes posible.
El impacto de esta vulnerabilidad está limitado a ciertas versiones de Windows ya que, a partir de Windows 8 y versiones posteriores se establecieron mecanismos que impedían ataques de este tipo. El investigador también ha comentado que otros grupos de delincuentes como Sednit (también conocido como Fancy Bear) usaron exploits parecidos en ataques perpetrados en 2017.
Este tipo de ataque es especialmente peligroso en aquellos sistemas como Windows 7 Service Pack 1 que pronto dejaran de tener soporte por parte de Microsoft. Concretamente, a partir del 14 de enero de 2020, este sistema ya no recibirá actualizaciones críticas de seguridad, a pesar de ser un sistema operativo utilizado aun en bastantes equipos.
A la segunda vulnerabilidad 0-day solucionada en los boletines de julio se le ha asignado el código «CVE-2019-0880 – Microsoft splwow64 Vulnerabilidad de Elevación de Privilegios» y ha sido descubierta por el investigador Gene Yoo de la empresa ReSecurity.
Otras vulnerabilidades solucionadas
Además de los parches para las vulnerabilidades que acabamos de mencionar, Microsoft también ha publicado una solución para otras cinco vulnerabilidades que fueron descubiertas recientemente. Sin embargo, según Microsoft, no se ha observado que ninguna de estas vulnerabilidades se esté utilizando para realizar ataques.
Uno de los parches publicados soluciona la vulnerabilidad que recientemente publicó el investigador del equipo Project Zero de Google Tavis Ormandy. Esta vulnerabilidad se hizo pública antes de que Microsoft pudiera solucionarla debido a que la empresa excedió el plazo de 90 días que el investigador les proporcionó.
Otra investigadora que ha dado mucho que hablar en los últimos meses por la publicación de vulnerabilidades sin esperar a que exista un parche es SandboxEscaper. Desde el mes de mayo han sido varias las vulnerabilidades descubiertas y lanzadas de forma pública por esta investigadora, aunque en esta ocasión todo apunta a que la vulnerabilidad fue comunicada a Microsoft de forma privada.
Conclusión
Tal y como se aconseja habitualmente, es muy recomendable aplicar estas actualizaciones lo antes posible ya que los delincuentes no tardan en aprovechar los agujeros de seguridad para propagar sus amenazas. Aun es frecuente, a día de hoy, ver como se aprovechan con éxito vulnerabilidades de hace años en ataques de todo tipo lo que demuestra que siguen habiendo demasiados sistemas por actualizar.