TLP: Amber
NIVEL DE RIESGO – CVSS v3.1: 9.8 [Crítico]
Acción Requerida: Aplicar las actualizaciones de seguridad publicadas por Microsoft.
Vector de ataque: Remoto.
Impacto: Denegación de servicio y posible ejecución de código arbitrario en el dispositivo afectado.

Descripción

Microsoft continúa lanzando una gran cantidad de correcciones de seguridad, este martes 13 de octubre del 2020 ofreció las nuevas correcciones entres las cuales 11 se califican como críticas. Sin embargo, hay dos vulnerabilidades que destacan del resto las cuales son:

  1. CVE-2020-16898 (CVSS v3.1 9.8[Crítico])
  2. CVE-2020-16899 (CVSS v3.1 7.5[Alto])

Ambas vulnerabilidades son causadas por un error en el controlador TCP / IP de Windows que permiten a los usuarios malintencionados generar denegación de servicio o inclusive ejecución remota de código en el dispositivo infectado.

La vulnerabilidad en tcpip.sys ocurre debido a un error lógico en como el controlador analiza los mensajes ICMP, este error se puede producir de forma remota utilizando un paquete fabricado de “Anuncio de Router” IPv6 con la opción Recursive DNS Server (RDNSS), esta opción contiene una lista de direcciones IPv6 de uno o más servidores DNS, el paquete fabricado debe contener mas datos de los establecidos para que de esta forma el controlador coloque mas bytes de datos en la pila de la memoria, lo que daría como resultado un desbordamiento de buffer.

Aprovechando el fallo anteriormente mencionado los usuarios malintencionados pueden generar una denegación de servicio o inclusive, comentan los expertos, sería posible la ejecución remota de código arbitrario, sin embargo, debido a los estándares y prácticas de codificación modernos que emplea Microsoft en Windows realizar la ejecución de código es algo sumamente complejo y se requiere de un gran esfuerzo para construir un exploit RCE genérico confiable que aproveche esta vulnerabilidad.

El resto de las vulnerabilidades críticas de este mes parcheadas también son posibles errores de ejecución remota de código:

  • CVE-2020-16891: vulnerabilidad de ejecución remota de código de Windows Hyper-V
  • CVE-2020-16911: vulnerabilidad de ejecución remota de código GDI +
  • CVE-2020-16915: vulnerabilidad de corrupción de memoria de Media Foundation
  • CVE-2020-16923: Vulnerabilidad de ejecución remota de código de los componentes gráficos de Microsoft
  • CVE-2020-16947: vulnerabilidad de ejecución remota de código de Microsoft Outlook
  • CVE-2020-16951 y CVE-2020-16952: dos vulnerabilidades de ejecución remota de código de Microsoft SharePoint
  • CVE-2020-16966: Vulnerabilidad de ejecución remota de código del SDK de Open Enclave
  • CVE-2020-16967: vulnerabilidad de ejecución remota de código del paquete de códec de cámara de Windows.

Nivel de riesgo

  • CVSS v3.1: 9.8 [Crítico]
  • CVSS v3.1: 7.5 [Alto]

Sistemas/tecnologías afectadas:

  • Windows 10 Version 1709 for 32-bit Systems
  • Windows 10 Version 1709 for ARM64-based Systems
  • Windows 10 Version 1709 for x64-based Systems
  • Windows 10 Version 1803 for 32-bit Systems
  • Windows 10 Version 1803 for ARM64-based Systems
  • Windows 10 Version 1803 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 2004 for 32-bit Systems
  • Windows 10 Version 2004 for ARM64-based Systems
  • Windows 10 Version 2004 for x64-based Systems
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)

Medidas de erradicación

  • Aplicar las actualizaciones de seguridad liberadas por Microsoft.
  • Desactive IPv6 si no se utiliza.
  • Haga que Windows descarte los paquetes de anuncios del enrutador usando el comando netsh (netsh int ipv6 set int * INTERFACENUMBER * rabaseddnsconfig = disable).

Referencias