El pasado martes, Microsoft publicó su boletín mensual de actualizaciones, en el que la compañía ha corregido 87 vulnerabilidades en varios de sus productos, de las cuales 12 han sido clasificadas como críticas.

El fallo "Bad Neighbor" de mayor gravedad, identificado como CVE-2020-16898 (CVSS 9.8), es una vulnerabilidad RCE en la pila TCP/IP de Windows debido a la forma en la que maneja los mensajes ICMPv6 Router Advertisement (RA).

Este fallo podría ser explotado mediante el envío de paquetes ICMPv6 Router Advertisment maliciosos y existe una PoC y un video. Además, se puede generar una BSOD con pocas líneas de código, por lo que existe la posibilidad de que la vulnerabilidad sea "wormeable" y se comience a explotar in-the-wild.

Este es un fallo en la implementación del RFC 6106 que se introdujo en Windows en 2019 y es probable que no se esté usando por lo que Microsoft ha publicado un workaround y Sergio de los Santos (@ssantosv) brinda los comandos para deshabilitarlo. 

El fallo CVE-2020-16947 (CVSS 8.1), es una vulnerabilidad de ejecución remota de código (RCE) en Microsoft Outlook, que se podría aprovechar engañando a la víctima para que abra un archivo especialmente diseñado con una versión vulnerable de Outlook.

Otras vulnerabilidades a tener en cuenta son otro fallo RCE en SharePoint, CVE-2020-16952 (CVSS 8.6), la cual tiene una PoC disponible, y el fallo CVE-2020-16938 (CVSS 5.5) para el que se ha divulgado información que podría facilitar su explotación.

Más boletines fuera de banda en Visual Studio Code

Microsoft también ha lanzado dos actualizaciones de emergencia para solventar nuevas vulnerabilidades que permitirían la ejecución remota de código en los sistemas afectados. Los nuevos fallos se seguridad están localizados en la biblioteca de códecs de Windows y en la aplicación Visual Studio Code.

El primer error, identificado con el identificador CVE-2020-17022, está relacionado con la forma en que la biblioteca de códecs de Windows trata los objetos en memoria y podría ser aprovechado a través de un fichero de imagen especialmente diseñado para lograr ejecutar código remoto. Se encuentran afectados todos aquellos sistemas Windows 10 en los que han sido instalado los códecs opcionales HEVC (High Efficiency Video Coding) o «HEVC del fabricante del dispositivo» desde Microsoft Store.

Se recomienda verificar la existencia de dichos códecs desde el apartado «Configuración», "Aplicaciones y características" y "HEVC, Opciones avanzadas", así como comprobar si se está utilizando una versión vulnerable de los mismos. Las versiones seguras son las siguientes: 1.0.32762.0, 1.0.32763.0 y posteriores.

El segundo error se ha identificado como CVE-2020-17023 y estaría causado por la forma en que Visual Studio Code maneja los ficheros JSON. Para aprovechar esta vulnerabilidad, un atacante podría convencer a un usuario objetivo para que clone un repositorio -que contiene un archivo ‘package.json’ malicioso- y lo abra con Visual Studio Code. La explotación exitosa de esta vulnerabilidad permitiría la ejecución de código arbitrario en el contexto del usuario actual, esto es, con su nivel de permisos.

Se recomienda aplicar los parches lo antes posible.

Fuentes:

• https://empresas.blogthinkbig.com/noticias-ciberseguridad-boletin-semanal-10-16-octubre/
• https://news.sophos.com/en-us/2020/10/13/top-reason-to-apply-october-2020s-microsoft-patches-ping-of-death-redux/
• https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Oct
• https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2020-16898-bad-neighbor/
• https://blog.rapid7.com/2020/10/14/there-goes-the-neighborhood-dealing-with-cve-2020-16898-a-k-a-bad-neighbor/
• https://hothardware.com/news/bad-neighbor-exploit-2020
• https://blog.quarkslab.com/beware-the-bad-neighbor-analysis-and-poc-of-the-windows-ipv6-router-advertisement-vulnerability-cve-2020-16898.html
• https://isc.sans.edu/forums/diary/CVE202016898+Windows+ICMPv6+Router+Advertisement+RRDNS+Option+Remote+Code+Execution+Vulnerability/26684/
• https://unaaldia.hispasec.com/2020/10/microsoft-lanza-parche-de-seguridad-critico-para-tcp-ip-de-windows.html