Home Sociedad Microsoft corrigió 36 vulnerabilidades en la versión de parches de seguridad de...

Microsoft corrigió 36 vulnerabilidades en la versión de parches de seguridad de diciembre

Microsoft entregó su paquete de parches de seguridad de diciembre, que afectan a Windows, Internet Explorer, Office, Skype para empresas, SQL Server y Visual Studio.

La ronda de actualización incluye siete fallas críticas y una que está siendo explotada activamente en el medio silvestre: CVE-2019-1458, una vulnerabilidad de escalamiento de privilegios en el componente Win32k.

Aunque solo aparece como “importante”, los expertos en seguridad instan a los administradores a priorizar una solución para ese error. El analista de inteligencia de Future Recorded, Allan Liska, explicó que una vulnerabilidad similar, CVE-2019-0859, fue encontrada en los mercados subterráneos a principios de este año.

En otros lugares, cinco de las siete vulnerabilidades críticas parcheadas (CVE-2019-1354, CVE-2019-1350, CVE-2019-1352, CVE-2019-1387 y CVE-2019-1349) están en Git for Visual Studio.

En este escenario de ataque, un atacante tendría que convencer a un desarrollador para que clone un repositorio malicioso. Esto puede ser complicado, pero las recompensas son potencialmente grandes, según el director de soluciones de seguridad de Ivanti, Chris Goettl.

“Esta es una escalada de privilegios de phishing de lanza en el grupo de ingeniería. Hipotéticamente, un actor de la amenaza podría dirigirse a un proveedor de software o de servicios. Si saben lo suficiente sobre la plataforma del proveedor y tienen acceso a una lista de direcciones de correo electrónico para esos desarrolladores, podrían crear una campaña de phishing submarino para dirigirse a estos usuarios e intentar convencerlos de que accedan a su repositorio malicioso”, explicó.

“Es muy común que los desarrolladores compartan código o pidan a alguien que depure un problema que estén viendo. Si un desarrollador confiado se conecta al repositorio de alguien en quien cree que confía, entonces un atacante puede obtener el control de su entorno de desarrollo”.

En otro lugar ayer, Google publicó una actualización para su navegador Chrome que resuelve 51 vulnerabilidades, mientras que Adobe corrigió 21 defectos en su producto Reader.

Los expertos también estaban interesados en señalar que sólo queda una ronda de actualización mensual de parches programada antes de que Windows 7 y Server 2008/2008 R2 lleguen al final de su vida útil. Después de ese tiempo, cualquier organización que siga ejecutando los productos sin contar con la seguridad adecuada o con el soporte ampliado de Microsoft correrá el riesgo de descubrir nuevos defectos.

Con información de: Microsofters.