Saltar al contenido
computerg

🥇 6 Días Cero Lo Convierten En Un Martes De Parches ‘Parche Ahora’

junio 11, 2021

            Microsoft lanzó 50 actualizaciones esta semana para abordar las vulnerabilidades en los ecosistemas de Windows y Office.  La buena noticia es que no hay actualizaciones de Adobe o Exchange Server este mes.  La mala noticia es que hay correcciones para seis exploits de día cero, incluida una actualización crítica del Componente principal de representación web (MSHTML) para Windows.  Hemos agregado las actualizaciones de Windows de este mes a nuestro programa "Parchear ahora", mientras que las actualizaciones de Microsoft Office y la Plataforma de desarrollo pueden implementarse bajo sus regímenes de lanzamiento estándar.  Las actualizaciones también incluyen cambios en Microsoft Hyper-V, bibliotecas criptográficas y Windows DCOM, todos los cuales requieren pruebas antes de la implementación.

Puede encontrar esta información resumida en nuestra infografía.

Casos de prueba clave

Este mes no se informaron cambios de alto riesgo en la plataforma Windows. Para este ciclo de parches, hemos dividido nuestra guía de prueba en dos secciones:

Los cambios en los componentes Microsoft OLE y DCOM son los más difíciles desde el punto de vista técnico y requieren la mayor experiencia empresarial para depurar e implementar. Los servicios DCOM no son fáciles de crear y pueden resultar difíciles de mantener. Como resultado, no son la primera opción para que la mayoría de las empresas crezcan internamente.

Si hay un servidor (o servicio) DCOM dentro de su grupo de TI, eso significa que debe estar allí, y algunas partes del negocio principal dependerán de él. Para gestionar los riesgos de esta actualización de junio, le recomiendo que tenga lista su lista de aplicaciones con componentes DCOM, que tenga dos compilaciones (previas y posteriores a la actualización) listas para una comparación en paralelo. Y tiempo suficiente para probar y actualice su código base según sea necesario.

Problemas conocidos

Cada mes, Microsoft incluye una lista de problemas conocidos del sistema operativo y la plataforma incluidos en este ciclo de actualización. A continuación, se muestran algunos problemas clave con las últimas versiones de Microsoft, que incluyen:

  • Al igual que el mes pasado, los certificados del sistema y del usuario se pueden perder al actualizar un dispositivo de Windows 10 versión 1809 o posterior a una versión más reciente de Windows 10. Microsoft no ha publicado más consejos sobre la actualización compartida a una versión posterior de Windows 10.
  • Hay un problema con el Editor de métodos de entrada japonés (IME) que genera texto Furigana incorrecto. Estos problemas son bastante comunes con las actualizaciones de Microsoft. Los IME son bastante complejos y han sido un problema para Microsoft durante años. Espere una actualización para este problema de caracteres japoneses a finales de este año.
  • En un problema relacionado, después de instalar KB4493509, los dispositivos con algunos paquetes de idiomas asiáticos instalados pueden ver el error «0x800f0982 – PSFX_E_MATCHING_COMPONENT_NOT_FOUND». Para resolver este problema, deberá desinstalar y luego reinstalar sus paquetes de idioma.

Ha habido varios informes de sistemas ESU que no pudieron completar las actualizaciones de Windows del mes pasado. Si está utilizando un sistema más antiguo, deberá comprar una clave ESU. Sobre todo, debe estar activado (para algunos falta un paso clave). Puede obtener más información sobre cómo activar su clave de actualización de ESU en línea.

También puede encontrar el resumen de problemas conocidos de Microsoft para esta versión en una página.

Revisiones importantes

A partir de ahora, para este ciclo de junio, ha habido dos actualizaciones importantes en comparación con las actualizaciones anteriores:

  • CVE-2020-0835: esta es una actualización para la funcionalidad anti-malware de Windows Defender en Windows 10. Windows Defender se actualiza mensualmente y generalmente genera una nueva entrada CVE cada vez. Por lo tanto, actualizar una entrada CVE de Defender es inusual (en lugar de simplemente crear una nueva entrada CVE para cada mes). Esta actualización (afortunadamente) se refiere a la documentación asociada. No se requiere ninguna acción adicional.
  • CVE-2021-28455: esta revisión hace referencia a otra actualización de la documentación para la base de datos de Microsoft Red Jet. Esta actualización (desafortunadamente) agrega Microsoft Access 2013 y 2016 a la lista de afectados. Si está utilizando la base de datos Jet «Red» (verifique su middleware), necesitará probar y actualizar sus sistemas.

Como nota adicional con respecto a la actualización de Windows Defender, dado todo lo que está sucediendo este mes (¡seis exploits públicos!), Le recomiendo que se asegure de que Defender esté actualizado. Microsoft ha publicado documentación adicional sobre cómo verificar y hacer cumplir el cumplimiento de Windows Defender. ¿Por qué no hacerlo ahora? Es gratis y Defender es bastante bueno.

Mitigaciones y soluciones

Hasta ahora, no parece que Microsoft haya publicado ninguna mitigación o solución alternativa para esta versión de junio.

Cada mes, dividimos el ciclo de actualización en familias de productos (según la definición de Microsoft) con las siguientes agrupaciones básicas:

  • Navegadores (Internet Explorer y Edge);
  • Microsoft Windows (tanto de escritorio como de servidor);
  • Microsoft Office;
  • Microsoft Exchange;
  • Plataformas de desarrollo de Microsoft (ASP.NET Core, .NET Core y Chakra Core);
  • Adobe (jubilado ???)

Navegadores

Parece que hemos vuelto a nuestro ritmo habitual de actualizaciones mínimas del navegador de Microsoft, ya que solo tenemos una actualización del proyecto Microsoft Chromium (CVE-2021-33741). Microsoft consideró importante esta actualización del navegador porque solo puede causar un problema de seguridad de privilegios elevados y requiere la interacción del usuario. En lugar de utilizar el Portal de seguridad de Microsoft para obtener mejor información sobre estas actualizaciones del navegador, he descubierto que las páginas de Notas de la versión de Microsoft Chromium son una mejor fuente de documentación de parches. Dada la naturaleza de la instalación de Chrome en los escritorios de Windows, esperaríamos muy poco impacto de la actualización. Agregue esta actualización del navegador a su programa de publicación estándar.

Microsoft Windows 10

Este mes, Microsoft lanzó 27 actualizaciones para el ecosistema de Windows, tres de las cuales fueron calificadas como críticas y el resto como importantes. Este es un número relativamente pequeño en comparación con los meses anteriores. Sin embargo, (y esto es enorme) estoy bastante seguro de que nunca hemos visto tantas vulnerabilidades explotadas o divulgadas públicamente. Este mes, seis están confirmados como operados, incluidos: CVE-2021-31955, CVE-2021-31956, CVE-2021-33739, CVE-2021-33742, CVE-2021-31199 y CVE-2021-31201.

Para agregar a los números de este mes, también se han divulgado públicamente dos problemas, incluidos CVE-2021-33739 y CVE-2021-31968. Eso es mucho, especialmente durante un mes. La solución que más me preocupa es CVE-2021-33742. Se considera crítico porque puede conducir a la ejecución de código arbitrario en el sistema de destino y afecta un elemento central de Windows (MSHTML). Este componente de representación web era un objetivo frecuente (y preferido) de los atacantes tras el lanzamiento de Internet Explorer (IE). Casi todos los (muchos, muchos) problemas de seguridad y las correcciones correspondientes que afectan a IE estaban relacionados con la forma en que el componente MSHTML interactuaba con los subsistemas de Windows (Win32) o, peor aún, el objeto de secuencia de comandos de Microsoft.

Los ataques contra este componente pueden conducir a un acceso profundo a los sistemas comprometidos y son difíciles de depurar. Incluso si no tuviéramos todos los exploits revelados o confirmados públicamente este mes, aún agregaría esta actualización de Windows al programa de lanzamiento «Patch Now».

Microsoft Office

Al igual que el mes pasado, Microsoft lanzó 11 actualizaciones calificadas como importantes y una como crítica para este ciclo de lanzamiento. Nuevamente, vemos las actualizaciones de Microsoft SharePoint como el enfoque principal, con el parche crítico CVE-2021-31963. En comparación con algunas de las noticias muy preocupantes de este mes para las actualizaciones de Windows, estas correcciones de Office son relativamente complejas de explotar y no exponen vectores altamente vulnerables, como los paneles de vista previa de Outlook, a ataques.

Ha habido una serie de actualizaciones informativas para estas correcciones en los últimos días y parece que puede haber un problema con las actualizaciones del paquete de SharePoint Server; Microsoft publicó el siguiente error: «DataFormWebPart puede bloquearse al acceder a una URL externa y genera etiquetas de evento ‘8scdc’ en los registros del Sistema de registro unificado de SharePoint (ULS)». Puede leer más sobre este problema con KB 5004210.

Planee reiniciar sus servidores de SharePoint y agregar estas actualizaciones de Office a su programa de publicación estándar.

Microsoft Exchange

No hay ninguna actualización de Microsoft Exchange para este ciclo. Este es un alivio bienvenido de los últimos meses cuando las actualizaciones críticas requerían arreglos urgentes que tienen implicaciones para toda la empresa.

Plataformas de desarrollo de Microsoft

Es un mes fácil para las actualizaciones de las plataformas de desarrollo de Microsoft (.NET y Visual Studio) con solo dos actualizaciones consideradas importantes:

  • CVE-2021-31938: un ataque complejo y difícil de liderar que requiere acceso local e interacción del usuario cuando se utilizan las extensiones de herramientas de Kubernetes.
  • CVE-2021-31957: esta vulnerabilidad de ASP.NET es un poco más grave (afecta a los servidores, en lugar de a una extensión de la herramienta). Dicho esto, sigue siendo un ataque complejo que ha sido completamente resuelto por Microsoft.

Agregue la actualización de Visual Studio a su programa de lanzamiento estándar para desarrolladores. Agregaría la actualización de ASP.NET a su programa de lanzamiento prioritario debido a la mayor exposición a Internet.

<p>Copyright © 2021 IDG Communications, Inc.</p>


Source link