Y Microsoft ha reemplazado los ya
clásicos boletines por la Security Update Guide. Un infierno de lista en la que
es imposible encontrar información de forma sencilla sobre las vulnerabilidades
corregidas.
Recursos afectados
1. Internet Explorer
2. Microsoft Edge
3. Microsoft Windows
4. Microsoft Office y
Microsoft Office Services y Web Apps
5. Visual Studio para
Mac
6. .NET Framework
7. Silverlight
8. Adobe Flash Player
Resumen de la
actualización
·
En
total, se han corregido 44 vulnerabilidades y 7 adicionales correspondientes al
reproductor Adobe Flash Player (incluidas en el boletín APSB17-10 de Adobe).
Según la propia clasificación de Microsoft 13 de los problemas son críticos, 29
importantes y 2 de importancia moderada.
·
La
recomendación para analizar las vulnerabilidades corregidas pasa por
descargarse toda la información en un archivo Excel y analizarla y desglosarla
desde la hoja de cálculo.
·
Si
pasamos a analizar las vulnerabilidades cabe destacar la corrección de una
grave vulnerabilidad 0-day en Office y WordPad, con CVE-2017-0199, que está
siendo explotada de forma activa en la actualidad. Este problema, descubierto
por los investigadores de McAfee, afecta a todas las versiones de Office,
incluyendo la última Office 2016 en Windows 10 totalmente actualizado. Basta
con abrir un documento específicamente creado con alguna versión afecta y el
atacante puede lograr la ejecución de código arbitrario. El exploit detectado
se conecta a un servidor remoto, descarga un archivo que contiene una
aplicación html y la ejecuta como archivo hta. Como los .hta son ejecutables el
atacante consigue la ejecución de código total en el sistema de la víctima.
·
También
es reseñable la corrección de una vulnerabilidad de hace 4 años, del 2013. Con
CVE-2013-6629, un problema de obtención de información sensible en la librería
de tratamiento de imágenes libjpeg. Un atacante podría obtener información que
le permitiría evitar la protección Address Space Layout Randomization (ASLR).
Problema que era conocido y fue corregido por otros fabricantes hace años.
Otras actualizaciones se desglosan en:
- Actualización acumulativa para Microsoft .net
Framework, que corrige una vulnerabilidad de ejecución remota de código
considerada crítica (CVE-2017-0160)
- Actualización acumulativa para Microsoft Windows
Hyper-V, que soluciona 13 vulnerabilidades que podrían permitir la
ejecución remota de código, provocar condiciones de denegación de servicio
o de obtención de información sensible
- Actualización acumulativa para Internet Microsoft
Explorer, considerada crítica y que evita cuatro vulnerabilidades, tres de
ellas podrían permitir la ejecución remota de código (CVE-2017-0202,
CVE-2017-0201, CVE-2017-0158 y CVE-2017-0210).
- Actualización acumulativa para Microsoft Edge, que
soluciona cinco vulnerabilidades, tres de ellas podrían permitir la
ejecución remota de código (CVE-2017-0205, CVE-2017-0093, CVE-2017-0200,
CVE-2017-0208 y CVE-2017-0203)
- Actualización acumulativa para Microsoft Office
destinada a corregir siete vulnerabilidades, las más graves podrían
permitir la ejecución de código arbitrario al abrir un documento Office
específicamente creado, incluido el 0 day descrito anteriormente.
- También se han solucionado vulnerabilidades en
Microsoft Windows Graphics, Microsoft Windows Active Directory y en los
propios sistemas Windows.
Más información:
·
April
2017 Security Updates https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/42b8fa28-9d09-e711-80d9-000d3a32fc99
·
Critical
Office Zero-Day Attacks Detected in the Wild https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/
·
April
2017 security update reléase https://blogs.technet.microsoft.com/msrc/2017/04/11/april-2017-security-update-release/
·
CVE-2017-0199:
In the Wild Attacks Leveraging HTA Handler https://www.fireeye.com/blog/threat-research/2017/04/cve-2017-0199-hta-handler.html
·
CVE-2017-0199
| Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
·
Microsoft
Patch Tuesday – April 2017 https://www.symantec.com/connect/blogs/microsoft-patch-tuesday-april-2017
Fuente: Hispasec