MSPatchTuesdayEl martes de parches de Microsoft de enero de 2019, lo que significa que es la primera vez en 2019 que se actualiza Windows, y las cosas no salieron muy bien. Encontramos varios problemas con Windows 7 y Windows Server 2008 r2. En las actualizaciones de seguridad de este mes se incluye una actualización crítica que se expuso públicamente, por lo que es importante que instale todas las actualizaciones disponibles lo antes posible para proteger su computadora. Como siempre es recomendable instalarlo primero en un entorno de prueba primero para evitar problemas. Lamentablemente muy pocos hacen esto, pero bueno los que lo hicieron no tuvieron problemas, el resto si.

Con el lanzamiento de las actualizaciones de seguridad de enero, Microsoft solucionó 51 vulnerabilidades, entre ellas Adobe Flash Player y Service Stack Stack Updates (SSU), de las cuales 7 se calificaron como críticas. Para obtener información sobre las actualizaciones de Windows que no son de seguridad, puede leer sobre las actualizaciones acumulativas de Windows 10 .

Vulnerabilidad de DHCP

Mitch Adair, del Equipo de Seguridad Empresarial de Microsoft Windows, descubrió internamente una vulnerabilidad ( CVE-2019-0547 ) que podría permitir a un atacante enviar una respuesta DHCP especialmente diseñada a un cliente para realizar una ejecución de código arbitrario en el cliente.

"Existe una vulnerabilidad de corrupción de memoria en el cliente DHCP de Windows cuando un atacante envía respuestas DHCP especialmente diseñadas a un cliente. Un atacante que explotó exitosamente la vulnerabilidad podría ejecutar código arbitrario en la máquina cliente.

Para explotar la vulnerabilidad, un atacante podría enviar respuestas DHCP especialmente diseñadas a un cliente ".

Dos vulnerabilidades de Windows Hyper-V que pueden ejecutar código en el host

Este parche del martes incluyó actualizaciones de seguridad que corrigen dos vulnerabilidades ( CVE-2019-0550 y CVE-2019-0551 ) en Hyper-V que podrían permitir que el malware en el huésped ejecute código en el sistema operativo host.

"Para aprovechar la vulnerabilidad, un atacante podría ejecutar una aplicación especialmente diseñada en un sistema operativo invitado que podría hacer que el sistema operativo host de Hyper-V ejecutara código arbitrario".

Esto es particularmente aterrador para los investigadores que usan Hyper-V para analizar muestras de malware.

Skype para Android vulnera la pantalla de bloqueo

Se solucionó una vulnerabilidad en Skype para Android ( CVE-2019-0622 ) que podría haber permitido a los atacantes que tenían acceso físico a un dispositivo Android pasar por alto la pantalla de bloqueo.

Esto les permitiría acceder a la información personal de la víctima.

Vulnerabilidad del motor de base de datos Jet RCE divulgada públicamente

Según Microsoft, una vulnerabilidad de RCE del motor de base de datos Jet ( CVE-2019-0579 ) se reveló públicamente pero no se sabe que se explote activamente en la naturaleza.

Vulnerabilidades críticas corregidas en las actualizaciones del martes de parches de enero de 2019

Este martes de parches corrige 7 vulnerabilidades de seguridad críticas en los productos de Microsoft. Estas vulnerabilidades son las más peligrosas, ya que podrían permitir que un atacante remoto ejecute comandos en una computadora vulnerable y esencialmente tome control total sobre ella.

De las 7 vulnerabilidades críticas, 3 fueron para el motor de secuencias de comandos de Chakra, que comúnmente vemos en estas anotaciones, 2 son para Windows Hyper-V, una para el cliente DHCP de Windows y Microsoft Edge.

CVE-2019-0539 – Vulnerabilidad de daños en la memoria de Chakra Scripting Engine

Existe una vulnerabilidad de ejecución remota de código en la forma en que el motor de scripts Chakra maneja los objetos en la memoria en Microsoft Edge. Esta vulnerabilidad también puede ser explotada a través de Microsoft Edge a través de sitios web o anuncios especialmente diseñados.

CVE-2019-0547 – Vulnerabilidad de ejecución remota de código del cliente DHCP de Windows

Como se explicó anteriormente, esta vulnerabilidad permite que un atacante envíe una respuesta DHCP especialmente diseñada al cliente para realizar la ejecución de código arbitrario.

CVE-2019-0550 – Vulnerabilidad de ejecución remota de código en Windows Hyper-V

Existe una vulnerabilidad de ejecución remota de código cuando Windows Hyper-V en un servidor host no puede validar correctamente la entrada de un usuario autenticado en un sistema operativo invitado. Para aprovechar la vulnerabilidad, un atacante podría ejecutar una aplicación especialmente diseñada en un sistema operativo invitado que podría hacer que el sistema operativo host de Hyper-V ejecute un código arbitrario.

Un atacante que explotó exitosamente la vulnerabilidad podría ejecutar código arbitrario en el sistema operativo host.

CVE-2019-0551 – Vulnerabilidad de ejecución remota de código de Windows Hyper-V

Existe una vulnerabilidad de ejecución remota de código cuando Windows Hyper-V en un servidor host no puede validar correctamente la entrada de un usuario autenticado en un sistema operativo invitado. Para aprovechar la vulnerabilidad, un atacante podría ejecutar una aplicación especialmente diseñada en un sistema operativo invitado que podría hacer que el sistema operativo host de Hyper-V ejecute un código arbitrario.

Un atacante que explotó exitosamente la vulnerabilidad podría ejecutar código arbitrario en el sistema operativo host.

CVE-2019-0565 – Vulnerabilidad de daños en la memoria de Microsoft Edge

Existe una vulnerabilidad de ejecución remota de código cuando Microsoft Edge accede de forma incorrecta a los objetos en la memoria. La vulnerabilidad podría dañar la memoria de tal manera que permita a un atacante ejecutar código arbitrario en el contexto del usuario actual. Un atacante que explotó exitosamente la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante podría tomar el control de un sistema afectado. Un atacante podría entonces instalar programas; ver, cambiar, o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario.

Un atacante podría alojar un sitio web especialmente diseñado para explotar la vulnerabilidad a través de Microsoft Edge y luego convencer a un usuario para que vea el sitio web. El atacante también podría aprovechar los sitios web comprometidos y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario al agregar contenido especialmente diseñado que podría aprovechar la vulnerabilidad.

CVE-2019-0567 – Vulnerabilidad de corrupción en la memoria del motor de secuencias de comandos de Chakra

Existe una vulnerabilidad de ejecución remota de código en la forma en que el motor de scripts Chakra maneja los objetos en la memoria en Microsoft Edge. Esta vulnerabilidad también puede ser explotada a través de Microsoft Edge a través de sitios web o anuncios especialmente diseñados.

CVE-2019-0568 – Vulnerabilidad de corrupción en la memoria del motor de secuencias de comandos de Chakra

Existe una vulnerabilidad de ejecución remota de código en la forma en que el motor de scripts Chakra maneja los objetos en la memoria en Microsoft Edge. Esta vulnerabilidad también puede ser explotada a través de Microsoft Edge a través de sitios web o anuncios especialmente diseñados.

Windows 7 and Server 2008 R2 updates KB4480970 and KB4480960 causing network issues

Como solucionar este problema, simple o desinstalamos el FIX (que generalmente no es lo mas recomendable, ya que hacer esto  resuelve el problema también, pero eliminará los parches de seguridad en el sistema que Microsoft lanzó en enero de 2019.) o podemos hacer lo siguiente:

Modificar el Registro de Windows y debe ejecutarse en el sistema que aloja el recurso compartido. Tengamos en cuenta que debe ejecutar desde un símbolo del sistema elevado.

  • reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
  • Reiniciamos la PC.

Espero les sea de interes y utilidad. Saludos, Roberto Di Lello

Les recomiendo leer lo siguiente:

Avatar photo

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.