Vulnerabilidades en el Código de Microsoft

By /

Las vulnerabilidades en el código de los sistemas operativos y aplicaciones de Microsoft representan un riesgo constante para usuarios individuales y organizaciones a nivel global. A lo largo de los años, la compañía ha tenido que abordar numerosas fallas de seguridad, muchas de las cuales han sido críticas y potencialmente explotables por actores maliciosos. Abordar estas vulnerabilidades es fundamental para mantener la integridad de los sistemas y la seguridad de la información.

Esquema de las etapas de una vulnerabilidad en software: detección, reporte, parche y aplicación.

Vulnerabilidades Críticas de Ejecución Remota de Código

Vulnerabilidades en la Biblioteca Adobe Type Manager (2020)

El 23 de marzo de 2020, Microsoft anunció el descubrimiento de dos vulnerabilidades críticas en Windows, una comunicación fuera de la programación habitual de la empresa, lo que resaltó su importancia. Estas vulnerabilidades son de ejecución remota de código y afectan la Biblioteca Adobe Type Manager. Específicamente, las fallas se presentan cuando esta biblioteca maneja incorrectamente una fuente Multiple Master diseñada especialmente, conocida como formato Adobe Type 1 PostScript.

Para explotar esta vulnerabilidad, un atacante debía engañar a la víctima para que abriera un documento malicioso. Si lograba esto, el ataque podía causar la corrupción de la memoria del sistema de la víctima y comprometer todo el sistema vulnerable. Microsoft explicó que para los sistemas que utilizan Windows 10 había menos riesgo, debido a que se incluyeron mitigaciones en la primera versión del sistema operativo en 2015. En ese momento, no existía un parche disponible, aunque Microsoft estaba trabajando activamente en una solución.

CVE-2024-30040: Omisión de Funciones de Seguridad en Microsoft 365 y Office

CVE-2024-30040 es una vulnerabilidad de omisión de características de seguridad que afecta a Microsoft 365 y las aplicaciones de Office. Esta vulnerabilidad permite que un actor malicioso envíe un archivo de Microsoft Office manipulado a un usuario objetivo. Al ser abierto, este archivo explota la vulnerabilidad para ejecutar código arbitrario. Microsoft ha observado exploits de prueba de concepto "weaponizados" en venta en foros criminales.

La explotación de CVE-2024-30040 no requiere ningún acceso previo al sistema objetivo. Tras una explotación exitosa, el actor de amenazas puede ejecutar código arbitrario en el sistema objetivo con los permisos del usuario actualmente conectado. Esta vulnerabilidad omite las mitigaciones de enlace e incrustación de objetos (OLE) en Microsoft 365 y las aplicaciones de Office que protegen a los usuarios de controles COM/OLE vulnerables.

Un actor de amenazas crea un archivo de Microsoft Office (por ejemplo, DOCX) que contiene un enlace OLE a un archivo HTML. Este archivo HTML incluye una etiqueta meta HTML que fuerza la ejecución de código JavaScript en un contexto de seguridad alternativo. Cuando el usuario objetivo abre o previsualiza el archivo creado, el código JavaScript se ejecuta. Como parte de la explotación, el exploit de prueba de concepto (PoC) que Microsoft observó en la naturaleza se comunica con un servidor de comando y control (C2) a través de HTTPS, descarga un archivo Java malicioso (JAR) y ejecuta ese archivo utilizando el Entorno de Ejecución de Java (JRE) instalado en el sistema objetivo con los permisos del usuario actualmente conectado. Sin embargo, el código JavaScript puede realizar otras acciones en el dispositivo. Esta vulnerabilidad afecta a Microsoft 365 y las aplicaciones de Office en versiones de Windows actualizadas antes del 14 de mayo de 2024. Microsoft lanzó actualizaciones de seguridad para este problema el 14 de mayo de 2024.

Microsoft Defender para Puntos de Extremo detecta actividad maliciosa resultante de explotar vulnerabilidades en Microsoft Office, incluida CVE-2024-30040.

Actualizaciones de Noviembre de 2021: Múltiples CVEs

El 9 de noviembre de 2021, Microsoft publicó una serie de parches para 55 vulnerabilidades, donde las vulnerabilidades de ejecución remota de código (RCE) representaron el 27.3% de las fallas parcheadas ese mes.

CVE-2021-42321: RCE en Microsoft Exchange Server

CVE-2021-42321 es una vulnerabilidad RCE en Microsoft Exchange Server. El fallo se debe a la validación incorrecta de los argumentos de los comandos (cmdlets). Para explotar esta vulnerabilidad, un atacante tendría que estar autenticado en un Exchange Server vulnerable. Microsoft confirmó tener conocimiento de "ataques dirigidos limitados" que explotaban esta vulnerabilidad. Además, esta parecía ser la misma vulnerabilidad en Exchange Server que fue explotada en la Tianfu Cup, un concurso de ciberseguridad chino.

CVE-2021-42292: Zero-Day en Microsoft Excel

CVE-2021-42292 es un día cero de evasión de funciones de seguridad en Microsoft Excel que recibió una puntuación CVSSv3 de 7.8 (Alta) y se tiene constancia de que ha sido explotada. El descubrimiento de este fallo se atribuyó al Centro de Inteligencia de Amenazas de Microsoft (MSTIC). Esta vulnerabilidad podría permitir la ejecución de código al abrir un archivo especialmente diseñado con una versión afectada de Excel, probablemente debido a la carga de código que debería estar detrás de un aviso, pero que, por alguna razón, no aparece, saltándose así esa característica de seguridad.

CVE-2021-38666: RCE en Cliente de Escritorio Remoto

CVE-2021-38666 es una vulnerabilidad RCE en el Remote Desktop Client que recibió una puntuación CVSSv3 de 8.8 (Alta). La vulnerabilidad puede ser explotada cuando una máquina víctima se conecta a un servidor de Remote Desktop controlado por un atacante, permitiendo a este ejecutar código arbitrario en la máquina de la víctima.

CVE-2021-41371 y CVE-2021-38631: Vulnerabilidades en RDP

Microsoft también proporcionó parches para otras dos vulnerabilidades relacionadas con el Protocolo de Escritorio Remoto (RDP) de Windows. Si un atacante era capaz de tomar el control de una cuenta con privilegios de administrador del servidor RDP, podría explotar CVE-2021-41371 o CVE-2021-38631 para leer las contraseñas de los clientes de Windows RDP. Ambas vulnerabilidades fueron reveladas públicamente, según Microsoft.

CVE-2021-43208 y CVE-2021-43209: RCE en 3D Viewer

CVE-2021-43208 y CVE-2021-43209 son vulnerabilidades RCE encontradas en 3D Viewer, un visor de objetos 3D y aplicación de realidad aumentada para Windows. Según Microsoft, estas vulnerabilidades fueron divulgadas públicamente y se atribuyeron a Mat Powell de Trend Micro Zero Day Initiative. Los clientes afectados deberían recibir las actualizaciones automáticamente desde la Microsoft Store. Sin embargo, los clientes que tuvieran desactivadas las actualizaciones automáticas tuvieron que tomar medidas manuales para recibir esta actualización. No existen otras soluciones que aborden estas vulnerabilidades más allá de las actualizaciones de software.

Ilustración de un sistema informático con parches de seguridad siendo aplicados y escudos de protección.

CVE-2026-26123: Fuga de Información en Microsoft Authenticator

Descripción de la Vulnerabilidad

Una vulnerabilidad en Microsoft Authenticator tanto para iOS como para Android (CVE-2026-26123) podría filtrar sus códigos de inicio de sesión de un solo uso o enlaces profundos de autenticación a una aplicación maliciosa instalada en el mismo dispositivo. Los enlaces profundos son identificadores uniformes de recursos (URI) predefinidos que permiten acceder directamente a una actividad en una aplicación web o móvil al hacer clic en ellos, abriendo la aplicación y completando acciones como iniciar sesión.

Microsoft Authenticator es una aplicación móvil ampliamente utilizada que genera códigos únicos basados en el tiempo y gestiona enlaces de inicio de sesión e inicios de sesión basados en códigos QR para cuentas de Microsoft y otras. Es fundamental para la autenticación multifactor (MFA) en teléfonos personales, incluidos los dispositivos BYOD (Bring Your Own Device), que protegen el acceso a servicios corporativos y de producción.

Para que esta vulnerabilidad pueda ser explotada, el usuario tendría que instalar primero una aplicación maliciosa en su dispositivo y luego seleccionar accidentalmente esa aplicación para gestionar un enlace profundo de inicio de sesión. Si esto ocurre, la aplicación maliciosa recibe el código de un solo uso o la información de inicio de sesión y puede utilizarla para autenticarse como la víctima.

Si la explotación tiene éxito, un atacante podría:

  • Completar los flujos de inicio de sesión en los servicios que confían en los códigos de Microsoft Authenticator de la víctima.
  • Acceder a la información y los servicios disponibles en la cuenta comprometida (correo electrónico, archivos, aplicaciones en la nube o sistemas de producción en un contexto BYOD).
  • Posiblemente pasar a cuentas adicionales si estas también están protegidas por códigos proporcionados a través del Authenticator en el mismo dispositivo.

Cómo Mantenerse Seguro

La corrección para CVE-2026-26123 ya está incluida en las versiones actuales, por lo que instalar las actualizaciones es la medida de mitigación más eficaz.

  • En iOS: Abra la App Store. Pulse el botón "Mi cuenta" o su foto en la parte superior de la pantalla. Desplácese hacia abajo para ver las actualizaciones pendientes y las notas de la versión. Pulse "Actualizar" junto a una aplicación para actualizar solo esa aplicación, o pulse "Actualizar todo".
  • En Android: Abra la aplicación Google Play Store. En la parte superior derecha, toque el icono de perfil. Toque "Administrar aplicaciones y dispositivo". En "Actualizaciones disponibles", toque "Ver detalles". Junto a la aplicación que desea actualizar, toque "Actualizar". Para actualizar todas sus aplicaciones al mismo tiempo, toque "Actualizar todo".

Si temporalmente no puede actualizar la aplicación, evite instalar nuevas aplicaciones que soliciten gestionar enlaces de autenticación, inicios de sesión basados en códigos QR o flujos de inicio de sesión de web a aplicación. Al escanear códigos QR o pulsar enlaces de inicio de sesión, compruebe que el gestor sea Microsoft Authenticator u otra aplicación de confianza, y no una aplicación desconocida, instalada recientemente o que resulte sospechosa. Siempre que sea posible, utilice opciones alternativas de autenticación multifactorial en las que ya confíe (como la autenticación integrada en su gestor de contraseñas o soluciones específicas de la plataforma, como las funciones de contraseña de Apple) hasta que pueda aplicar la actualización. Utilice protección antimalware para sus dispositivos móviles que le ayude a detectar aplicaciones maliciosas.

Problemas con WINDOWS UPDATE - Cómo REPARAR LAS ACTUALIZACIONES de WINDOWS 11

La Importancia de la Gestión de Parches

Las vulnerabilidades son responsables de una gran cantidad de problemas de seguridad en las organizaciones. La única manera eficaz de protegerse contra las vulnerabilidades conocidas es aplicando los parches relevantes. Sin embargo, muchas empresas tienen dificultades a la hora de aplicar estos parches, a menudo debido a la falta de recursos, herramientas y tiempo.

Es crucial que las organizaciones implementen soluciones de gestión de parches que ayuden a identificar, gestionar e instalar las actualizaciones de seguridad de manera automática. Estas herramientas pueden priorizar las actualizaciones más urgentes y planificar su instalación, incluso notificando los parches pendientes ante detecciones de exploits y programas maliciosos. Microsoft, además de abordar las vulnerabilidades en sus productos, ha cesado el soporte para versiones antiguas como Windows 7 y Windows Server 2008 a principios de 2020, lo que subraya la importancia de mantener los sistemas operativos actualizados.

Recomendaciones Generales

Mantenerse protegido contra las vulnerabilidades en el código de Microsoft requiere una postura proactiva. Para usuarios individuales, de pequeñas empresas o de organizaciones, es fundamental utilizar la característica de actualización automática de Windows para instalar las correcciones de Microsoft Update. Estas actualizaciones a menudo incluyen soluciones para problemas críticos, como el parche urgente lanzado a principios de 2020 para una vulnerabilidad crítica en los sistemas operativos Windows 10, y Windows Server 2016 y 2019, entre otros.

Además, es vital estar al tanto de los boletines de seguridad de Microsoft y la información adicional sobre actualizaciones de seguridad relacionadas con versiones de productos individuales. La implementación de medidas de seguridad sólidas, incluyendo protección con contraseñas robustas, cifrado de correo electrónico y una gestión eficiente de credenciales, complementa la aplicación de parches y reduce la superficie de ataque.

tags: #vulnerabilidades #en #el #codigo #microsoft

Publicaciones populares:

  • Opciones de financiamiento para pensionados con Dicom
  • Análisis detallado de la invalidez procesal
  • Sexualidad y discapacidad
  • Hombre de 94 años muere en su domicilio
  • Protección de la infancia en Chile