El martes de esta semana fue el segundo del mes, lo que significa que Microsoft está lanzando actualizaciones de seguridad que reparan vulnerabilidades encontradas en Windows y sus otros productos. El segundo paquete de actualizaciones de este 2020 repara 56 vulnerabilidades, incluida una zero-day que está siendo explotada de manera activa.

La vulnerabilidad de escalación de privilegios, registrada como  CVE-2021-1732  y clasificada como "importante" de acuerdo a la escala de severidad CVSS, reside en Win32k, un componente del kernel de Windows. Según el  Instituto de Tecnología SANS, se trata de una vulnerabilidad local y "un atacante debería tener acceso local a la máquina (consola o SSH, por ejemplo) o depender de una interacción por parte del usuario, como abrir un documento malicioso".

La falla provocó la alerta de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), que rápidamente emitió un  aviso de seguridad en relación a la vulnerabilidad: “CISA alienta a los usuarios y administradores a revisar la advertencia de Microsoft para la CVE-2021-1732 e instalar el parche para Windows 10 y servidores Windows 2019".

Más allá de la vulnerabilidad zero-day, el último paquete de actualizaciones también incluye parches para 11 fallas consideradas críticas, mientras que seis de las vulnerabilidades de la lista figuran como conocidas públicamente al momento del lanzamiento de la actualización. La gran mayoría de las restantes recibieron la clasificación de “importante", mientras dos fueron clasificadas de acuerdo a su severidad como "moderada".

Entre las clasificadas como críticas, cuatro vulnerabilidades de ejecución remota de código (RCE) obtuvieron una "puntuación casi perfecta" de 9,8 sobre 10 en la escala de severidad CVSS.

La primera, la CVE-2021-24078, radica en el servidor DNS de Microsoft y como señalábamos antes, podría permitir a un atacante ejecutar código de manera remota. El Instituto SANS también advirtió que, dado que el fallo no requiere ninguna interacción por parte del usuario, podría ser aprovechada por un malware con características de gusano.

Mientras tanto, se descubrieron otras dos vulnerabilidades críticas de RCE (CVE-2021-24074  y  CVE-2021-24094) que afectaban la implementación TCP/IP de Windows. Aunque Microsoft dijo que sería difícil crear exploits funcionales para ellas, el gigante de Redmond cree que los atacantes podrían explotarlas juntas con una vulnerabilidad de Denegación de Servicio (DoS) registrada como CVE-2021-24086  en un ataque de DoS.

Las actualizaciones lanzadas en este paquete son para varios tipos de productos de Windows, como Microsoft Office o Skype para empresas, por nombrar algunos.

Como siempre recomendamos tanto a los administradores de sistemas como a los lectores frecuentes, instalen los parches lo antes posible.