Microsoft emitió 75 CVE que incluyeron 11 críticos y 64 importantes.
Un error crítico en un motor de secuencias de comandos de Microsoft, bajo ataque activo, se ha corregido como parte del resumen de seguridad Patch Tuesday de Microsoft.
La vulnerabilidad existe en Internet Explorer y permite que un atacante ejecute código falso si una víctima es obligada a visitar una página web maliciosa o si se le engaña para que abra un documento de Office especialmente diseñado.
“Un atacante que aprovecha con éxito la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual está conectado con derechos de usuario administrativos, un atacante ... podría tomar el control de un sistema afectado ", escribió Microsoft en su aviso .
En un escenario de ataque de documentos de Office, Microsoft dijo que un adversario podría incorporar un control ActiveX marcado como "seguro para la inicialización" en un documento de Office. Si se inicializa, el documento malicioso podría dirigirse a un sitio web corrupto, atrapado con contenido especialmente diseñado que podría explotar la vulnerabilidad.
En total, Microsoft emitió 75 CVE que incluyeron 11 críticos y 64 importantes.
Uno de los errores críticos incluye una falla de omisión de la función de seguridad de Excel ( CVE-2019-1457 ) que se divulgó públicamente a fines de octubre y se explotó como un día cero.
"[Esto] es un desvío de la función de seguridad en Microsoft Office para Mac debido a la aplicación inadecuada de la configuración de macro en documentos de Excel", explicó Satnam Narang, ingeniero de investigación senior en Tenable, en un análisis por correo electrónico de Patch Tuesday. "Un atacante necesitaría crear un documento Excel especialmente diseñado utilizando el formato de archivo SYLK (SYmbolic LinK), y convencer a un usuario para que abra dicho archivo utilizando una versión vulnerable de Microsoft Office para Mac".
A principios de este mes, Microsoft advirtió que los archivos SYLK maliciosos están ocultando las defensas de los puntos finales incluso cuando la función "deshabilitar todas las macros sin notificación" está activada. Esto deja a los sistemas vulnerables a atacantes remotos no autenticados que pueden ejecutar código arbitrario.
"Las macros XLM se pueden incorporar a los archivos SYLK", escribió el Equipo de Preparación para Emergencias Informáticas de los Estados Unidos en una advertencia a principios de este mes. "Las macros en el formato SYLK son problemáticas porque Microsoft Office no se abre en la Vista protegida para ayudar a proteger a los usuarios".
Guía de Microsoft Trusted Platform Module y limpieza de la casa
Los avisos de Patch Tuesday también incluyeron actualizaciones que no son de CVE, como una relacionada con una vulnerabilidad en el conjunto de chips Trusted Platform Module (TPM). La vulnerabilidad TPM es un error de un tercero que no está conectado al sistema operativo Windows.
“Actualmente, ningún sistema de Windows utiliza el algoritmo vulnerable. Otro software o servicio que esté ejecutando podría usar este algoritmo. Por lo tanto, si su sistema se ve afectado [requiere] la instalación de actualizaciones de firmware TPM ”, escribió Microsoft en su aviso, ADV190024 .
La vulnerabilidad debilita la protección de confidencialidad clave para el algoritmo de firma digital de curva elíptica o ECDSA. La tecnología se utiliza para una variedad de aplicaciones diferentes, como una aplicación relacionada con Bitcoin, donde se aprovecha para garantizar que los fondos solo puedan ser gastados por sus legítimos propietarios .
"Hay algunas fechas de fin de vida de Windows que los usuarios deben tener en cuenta tanto este mes como en enero", escribió Goettl. Agregó que hay "algunos detalles adicionales sobre el soporte extendido para Windows 7 y Server 2008 \ 2008 R2 de una publicación de blog en noviembre que discute cómo obtener acceso y garantizar que sus sistemas estén preparados para un soporte extendido si continúa".
_____