Connect with us

PC

Las actualizaciones de seguridad de Microsoft Office corrigen errores críticos de SharePoint RCE

Published

on

Microsoft Office security updates fix critical SharePoint RCE bugs

Microsoft ha abordado las vulnerabilidades críticas de ejecución remota de código en varias versiones de SharePoint con las actualizaciones de seguridad de Office de este mes.

En total, este mes la compañía lanzó 23 actualizaciones de seguridad y 5 actualizaciones acumulativas para 7 productos diferentes, solucionando 9 vulnerabilidades que podrían permitir a los atacantes ejecutar código arbitrario de forma remota en sistemas vulnerables.

Redmond también emitió las actualizaciones de seguridad del martes de parches de diciembre de 2020, con actualizaciones de seguridad para 58 vulnerabilidades, nueve de ellas calificadas como críticas.

Las actualizaciones de Windows que no son de seguridad también se lanzaron con las actualizaciones acumulativas KB4592449 y KB4592438 de Windows 10.

Error de ejecución remota de código previo a la autenticación de SharePoint

Los aspectos más destacados de las actualizaciones de seguridad de Microsoft Office de este mes son sin duda los dos errores de seguridad de RCE que afectan a Microsoft SharePoint.

Mientras que el primero registrado como CVE-2020-17121 requiere que los atacantes tengan privilegios de usuario básicos para la explotación, el segundo registrado como CVE-2020-17118 puede explotarse de forma remota sin autenticación.

Para aprovechar con éxito CVE-2020-17118 en ataques de baja complejidad, los atacantes también deben engañar a los objetivos para que abran archivos de Office creados con fines malintencionados.

Según la información proporcionada por Microsoft en el aviso de seguridad, el código de explotación de prueba de concepto CVE-2020-17118 también está disponible (aunque probablemente se comparta de forma privada):

El error fue descubierto por Jonathan Birch, ingeniero senior de software de seguridad del equipo de seguridad de Microsoft Office y afecta a Microsoft SharePoint Server 2019, Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Foundation 2013 Service Pack 1 y Microsoft SharePoint Foundation 2010 Service Pack 2.

“El código o la técnica no es funcional en todas las situaciones y puede requerir una modificación sustancial por parte de un atacante experto”, explica Microsoft.

Problemas de seguridad de Microsoft Office resueltos en este mes

Las actualizaciones de seguridad publicadas como parte del martes de parches de diciembre de 2020 abordan errores que podrían permitir la ejecución remota de código (RCE) en sistemas Windows que ejecutan ediciones vulnerables basadas en Click to Run y Microsoft Installer (.msi) de productos de Microsoft Office.

Los 9 errores de RCE parcheados este mes están clasificados por Microsoft como problemas de gravedad críticos o importantes, ya que pueden permitir a los atacantes ejecutar código arbitrario en el contexto del usuario actual después de una explotación exitosa.

Los atacantes podrían instalar programas maliciosos, ver, cambiar y eliminar datos, así como crear cuentas de administrador no autorizadas en los dispositivos Windows comprometidos.

Etiqueta ID CVE Título Gravedad
Microsoft Office CVE-2020-17130 Vulnerabilidad de omisión de la función de seguridad de Microsoft Excel Importante
Microsoft Office CVE-2020-17128 Vulnerabilidad de ejecución remota de código de Microsoft Excel Importante
Microsoft Office CVE-2020-17129 Vulnerabilidad de ejecución remota de código de Microsoft Excel Importante
Microsoft Office CVE-2020-17124 Vulnerabilidad de ejecución remota de código de Microsoft PowerPoint Importante
Microsoft Office CVE-2020-17123 Vulnerabilidad de ejecución remota de código de Microsoft Excel Importante
Microsoft Office CVE-2020-17119 Vulnerabilidad de divulgación de información de Microsoft Outlook Importante
Microsoft Office CVE-2020-17125 Vulnerabilidad de ejecución remota de código de Microsoft Excel Importante
Microsoft Office CVE-2020-17127 Vulnerabilidad de ejecución remota de código de Microsoft Excel Importante
Microsoft Office CVE-2020-17126 Vulnerabilidad de divulgación de información de Microsoft Excel Importante
Microsoft Office CVE-2020-17122 Vulnerabilidad de ejecución remota de código de Microsoft Excel Importante
Microsoft Office SharePoint CVE-2020-17115 Vulnerabilidad de suplantación de identidad de Microsoft SharePoint Moderar
Microsoft Office SharePoint CVE-2020-17120 Vulnerabilidad de divulgación de información de Microsoft SharePoint Importante
Microsoft Office SharePoint CVE-2020-17121 Vulnerabilidad de ejecución remota de código de Microsoft SharePoint Crítico
Microsoft Office SharePoint CVE-2020-17118 Vulnerabilidad de ejecución remota de código de Microsoft SharePoint Crítico
Microsoft Office SharePoint CVE-2020-17089 Vulnerabilidad de elevación de privilegios de Microsoft SharePoint Importante

Actualizaciones de seguridad de Microsoft Office de diciembre de 2020

Las actualizaciones de seguridad de Microsoft Office se entregan a través de la plataforma Microsoft Update y a través del Centro de descargas.

Más detalles sobre cada uno de ellos, incluidos los ID de CVE, están disponibles en los artículos de la base de conocimientos vinculados a continuación.

Para descargar las actualizaciones de seguridad de Microsoft Office de diciembre de 2020, haga clic en el artículo de la base de conocimientos correspondiente a continuación y luego desplácese hacia abajo hasta la sección ‘ Cómo descargar e instalar la actualización ‘.

Microsoft Office 2016

Producto Título y número del artículo de la base de conocimientos
Excel 2016 Actualización de seguridad para Excel 2016 (KB4486754)
Oficina 2016 Actualización de seguridad para Office 2016 (KB4486757)
Outlook 2016 Actualización de seguridad para Outlook 2016 (KB4486748)
PowerPoint 2016 Actualización de seguridad para PowerPoint 2016 (KB4484393)

Microsoft Office 2013

Producto Título y número del artículo de la base de conocimientos
Excel 2013 Actualización de seguridad para Excel 2013 (KB4493139)
Oficina 2013 Actualización de seguridad para Outlook 2013 (KB4486732)
PowerPoint 2013 Actualización de seguridad para PowerPoint 2013 (KB4484468)

Microsoft Office 2010

Producto Título y número del artículo de la base de conocimientos
Excel 2010 Actualización de seguridad para Excel 2010 (KB4493148)
Oficina 2010 Actualización de seguridad para Office 2010 (KB4493140)
Oficina 2010 Actualización de seguridad para Office 2010 (KB4486698)
Outlook 2010 Actualización de seguridad para Outlook 2010 (KB4486742)
PowerPoint 2010 Actualización de seguridad para PowerPoint 2010 (KB4484372)

Microsoft SharePoint Server 2019

Producto Título y número del artículo de la base de conocimientos
Servidor en línea de Office Actualización de seguridad para Office Online Server (KB4486750)
SharePoint Server 2019 Actualización de seguridad para SharePoint Server 2019 (KB4486751)
Paquete de idioma de SharePoint Server 2019 Actualización de seguridad para el paquete de idioma de SharePoint Server 2019 (KB4486752)

Microsoft SharePoint Server 2016

Producto Título y número del artículo de la base de conocimientos
SharePoint Enterprise Server 2016 Actualización de seguridad para SharePoint Enterprise Server 2016 (KB4486753)
SharePoint Enterprise Server 2016 Actualización de seguridad para SharePoint Enterprise Server 2016 (KB4486721)

Microsoft SharePoint Server 2013

Producto Título y número del artículo de la base de conocimientos
Office Web Apps Server 2013 Actualización de seguridad para Office Web Apps Server 2013 (KB4486760)
Project Server 2013 Actualización acumulativa para Project Server 2013 (KB4486763)
SharePoint Enterprise Server 2013 Actualización acumulativa para SharePoint Enterprise Server 2013 (KB4493137)
SharePoint Foundation 2013 Actualización acumulativa para SharePoint Foundation 2013 (KB4486761)
SharePoint Foundation 2013 Actualización de seguridad para SharePoint Foundation 2013 (KB4493138)
SharePoint Foundation 2013 Actualización de seguridad para SharePoint Foundation 2013 (KB4486696)

Microsoft SharePoint Server 2010

Producto Título y número del artículo de la base de conocimientos
Project Server 2010 Actualización acumulativa para Project Server 2010 (KB4493144)
SharePoint Foundation 2010 Actualización de seguridad para SharePoint Foundation 2010 (KB4493149)
SharePoint Server 2010 Actualización acumulativa para SharePoint Server 2010 (KB4493146)
SharePoint Server 2010 Actualización de seguridad para SharePoint Server 2010 (KB4486697)
Aplicaciones web de Office SharePoint Server 2010 Actualización de seguridad para las aplicaciones web de Office SharePoint Server 2010 (KB4486704)

Advertisement

PC

El malware Stealthy Magecart filtra por error una lista de tiendas pirateadas

Published

on

By

Stealthy Magecart malware mistakenly leaks list of hacked stores

Stealthy Magecart malware mistakenly leaks list of hacked stores

Una lista de docenas de tiendas en línea pirateadas por un grupo de skimming web fue filtrada inadvertidamente por un cuentagotas utilizado para implementar un troyano sigiloso de acceso remoto (RAT) en sitios de comercio electrónico comprometidos.

Los actores de amenazas utilizan esta RAT para mantener la persistencia y recuperar el acceso a los servidores de las tiendas en línea pirateadas.

Una vez que se conectan a las tiendas, los atacantes implementan scripts de skimmer de tarjetas de crédito que roban y exfiltran los datos personales y financieros de los clientes en ataques de skimming digital (también conocido como Magecart).

Ratas soñolientas en los servidores de la tienda online

Los investigadores de Sansec, una empresa de seguridad centrada en proteger las tiendas de comercio electrónico de los ataques de skimming web, dijeron que el malware se entregó en forma de un ejecutable ELF de 64 bits con la ayuda de un dropper de malware basado en PHP.

Para evadir la detección y obstaculizar el análisis, el RAT sin nombre está diseñado para camuflarse como un demonio de servidor DNS o SSH para que no se destaque en la lista de procesos del servidor.

El malware también se ejecuta en modo de suspensión casi durante todo el día, y solo se despierta una vez al día temprano en la mañana, a las 7 a.m., para conectarse a su servidor de comando y control y solicitar comandos.

RAT conectándose al servidor C2
RAT conectándose al servidor C2 ( Sansec )

Las muestras de RAT recolectadas por Sansec de varios servidores comprometidos han sido compiladas por los actores de amenazas detrás de estos ataques en Ubuntu y Red Hat Linux.

“Esto puede indicar que varias personas participaron en esta campaña”, dice Sansec en un informe publicado hoy.

“O, por ejemplo, que el código fuente de RAT está disponible públicamente y posiblemente a la venta en los mercados de la web oscura”.

Cuentagotas RAT derrama los frijoles

A pesar del malware RAT bastante avanzado que utilizaron como puerta trasera en los servidores de comercio electrónico pirateados, el grupo Magecart también cometió un error de novato al incluir una lista de tiendas en línea pirateadas dentro del código de su cuentagotas.

Sansec secuestró el cuentagotas RAT de los atacantes y descubrió que también contenía una lista de 41 tiendas comprometidas además del código malicioso habitual que se utiliza para analizar las configuraciones de implementación de varios scripts de Magecart.

Esto podría explicarse por el hecho de que el cuentagotas ha sido codificado por alguien que parece tener mucha menos experiencia con PHP, ya que “usa bloques de memoria compartida, que rara vez se usa en PHP pero es mucho más común en programas C”.

Sansec también se ha comunicado con las tiendas en línea incluidas en el código del dropper de malware Magecart para informarles que se han infiltrado sus servidores.

Lista de tiendas pirateadas
Lista de tiendas online pirateadas ( Sansec )

Durante los últimos meses, los investigadores de Sansec han desenterrado múltiples skimmers Magecart y muestras de malware que utilizan tácticas innovadoras para persistir o evadir la detección.

Un script de ladrón de tarjetas de crédito que se encuentra en tres tiendas diferentes, aún activo cuando BleepingComputer informó la información la semana pasada, se oculta a la vista en sitios pirateados que utilizan código CSS, ya que evita ser descubierto a través de métodos convencionales como escáneres de seguridad automatizados e incluso auditorías manuales de códigos de seguridad. .

También descubrieron recientemente un malware de rastreo web capaz de camuflarse como botones de redes sociales SVG y un ladrón de tarjetas de crédito casi imposible de deshacerse que incluye una puerta trasera persistente.

Artículos relacionados:

Tarjeta de crédito que roba paquetes de malware por puerta trasera para una fácil reinstalación

El malware que roba tarjetas de crédito se esconde en los iconos para compartir en las redes sociales

El nuevo malware de Windows pronto podría apuntar a dispositivos Linux y macOS

Qbot malware cambió a un nuevo método sigiloso de inicio automático de Windows

Un ladrón de tarjetas de crédito se esconde en archivos CSS de tiendas en línea pirateadas

Continue Reading

PC

Europol lanza una nueva plataforma de descifrado para las fuerzas del orden

Published

on

By

Europol launches new decryption platform for law enforcement

Europol launches new decryption platform for law enforcement

Europol y la Comisión Europea han lanzado una nueva plataforma de descifrado que ayudará a impulsar la capacidad de Europol para obtener acceso a la información almacenada en medios cifrados recopilada durante las investigaciones penales.

La nueva plataforma de descifrado operada por el Centro Europeo de Ciberdelincuencia (EC3) de Europol se desarrolló en colaboración con el servicio de ciencia y conocimiento del Centro Común de Investigación de la Comisión Europea.

Marca “un hito en la lucha contra el crimen organizado y el terrorismo en Europa”, según la Agencia de Cooperación para el Cumplimiento de la Ley de la UE.

El Centro Europeo de Ciberdelincuencia (EC3) de Europol, un organismo de la Oficina de Policía de la UE centrado en la ciberdelincuencia cometida por grupos delictivos organizados, es la entidad que operará esta plataforma y proporcionará apoyo y experiencia a las investigaciones nacionales de los Estados miembros.

“Hoy marca el final de un viaje de tres años”, dijo la directora ejecutiva de Europol, Catherine De Bolle, en un comunicado de prensa publicado hoy.

“Hemos dado un importante paso adelante en la lucha contra el abuso criminal de la encriptación con el objetivo de mantener a nuestra sociedad y ciudadanos seguros respetando plenamente los derechos fundamentales”.

Aunque el comunicado de prensa de hoy no proporciona ningún detalle sobre de qué se trata la nueva plataforma de descifrado, un informe del Consejo de la Unión Europea [PDF] arroja algo de luz.

Según el informe, la plataforma de descifrado de Europol incluye herramientas tanto de software como de hardware que deberían ayudar a los organismos encargados de hacer cumplir la ley a descifrar la información obtenida legalmente durante las investigaciones penales.

Como se explica en el informe:

  • Los Estados miembros deberían invertir en hardware y software especializados con capacidad computacional adecuada y en personal con la formación adecuada para garantizar el descifrado también en casos complejos de comunicaciones y archivos cifrados.
  • Los Estados miembros deben garantizar la cooperación entre todas las partes interesadas pertinentes, incluidas, cuando proceda, las empresas privadas, con el fin de aumentar las capacidades de descifrado de las autoridades competentes.
  • Los Estados miembros deberían intensificar la investigación y el desarrollo con el fin de desarrollar métodos de descifrado nuevos y más eficientes, y hacer uso de las instalaciones de Europol, en particular de la plataforma de descifrado European Cybercrime Centre (EC-3) para casos de cifrado más sofisticados.

“En pleno respeto de los derechos fundamentales y sin limitar o debilitar el cifrado, esta iniciativa estará disponible para las autoridades policiales nacionales de todos los Estados miembros para ayudar a mantener a las sociedades y los ciudadanos seguros y protegidos”, añadió Europol.

El Consejo emitió el lunes una resolución no vinculante legalmente sobre “seguridad a través del cifrado y seguridad a pesar del cifrado”.

La resolución subrayó el apoyo del Consejo al “desarrollo, implementación y uso de un cifrado sólido como un medio necesario para proteger los derechos fundamentales y la seguridad digital de los ciudadanos, los gobiernos, la industria y la sociedad”.

También destacó “la necesidad de garantizar que las autoridades judiciales y policiales competentes puedan ejercer sus poderes legales, tanto en línea como fuera de línea, para proteger a nuestras sociedades y ciudadanos”.

“Las posibles soluciones técnicas deberán respetar la privacidad y los derechos fundamentales, y preservar el valor que el progreso tecnológico aporta a la sociedad”, agregó el Consejo.

Artículos relacionados:

Se accede a los documentos de la vacuna Pfizer COVID-19 en el ciberataque de la EMA

La UE sanciona a los piratas informáticos rusos por el ataque al parlamento alemán en 2015

Hackers apuntan a organizaciones de suministro de cadena de frío de la Comisión de la UE y COVID-19

El grupo de piratería ruso utiliza Dropbox para almacenar datos robados por malware

Dispositivos móviles emulados utilizados para robar millones de bancos de EE. UU. Y la UE

Continue Reading

PC

Las actualizaciones de Windows 10 causan un bucle de bloqueo de CorsairVBusDriver BSOD

Published

on

By

Windows 10 BSOD

Windows 10 BSOD

Las actualizaciones de Windows 10 de diciembre de 2020 de Microsoft están en conflicto con el software Corsair Utility Engine y hacen que el sistema operativo entre en un bucle de bloqueo BSOD.

Después de que se lanzaron las actualizaciones del martes de parches de diciembre de 2020, los usuarios de Windows 10 comenzaron a informar que el sistema operativo entraría en un ciclo de bloqueo en el que Windows se reiniciaría y se bloqueará y reiniciará automáticamente.

Cuando Windows 10 falla, muestra una pantalla azul que muestra el error “Código de detención – EXCEPCIÓN DEL HILO DEL SISTEMA NO MANEJADO” e indica que la unidad CorsairVBusDriver.sys falló, como se muestra a continuación.

Accidente de la pantalla azul de la muerte de CorsairVBusDriver.sys
Accidente de la pantalla azul de la muerte de CorsairVBusDriver.sys

Microsoft no ha reconocido este conflicto en ninguno de sus boletines de soporte para las actualizaciones recientes de Windows 10, pero podemos esperar que pongan una suspensión de seguridad en las actualizaciones de Windows 10 pronto.

Cabe señalar que la gente se ha estado quejando de las fallas de CorsairVBusDriver.sys desde el 8 de diciembre, pero hoy BleepingComputer vio un gran aumento en las personas afectadas. Si Microsoft ofrece una actualización opcional para los controladores Corsair, no los instale, ya que esto podría explicar el aumento que estamos viendo.

BleepingComputer se ha puesto en contacto con Microsoft con preguntas sobre estos fallos.

Cómo reparar los bloqueos BSOD de Windows 10 CorsairVBusDriver.sys

Si se ve afectado por estos bloqueos, no podrá iniciar Windows. Por lo tanto, debemos eliminar el controlador CorsairVBusDriver.sys en conflicto mediante el entorno de recuperación de Windows 10.

Afortunadamente, un miembro de BleepingComputer tuvo la amabilidad de crear pasos detallados sobre cómo resolver estos bloqueos y los publicó en nuestros foros. He modificado ligeramente los pasos para que sean más comprensibles para quienes no estén familiarizados con el símbolo del sistema.

Para resolver los bloqueos de BSOD de Windows 10 CorsairVBusDriver.sys, siga los siguientes pasos:

  1. No necesita un disco de instalación de Windows para realizar estos pasos. En su lugar, puede realizar esto utilizando el símbolo del sistema de recuperación de Windows 10 integrado.
    1. Arranque en la pantalla de recuperación de Windows 10 (consulte arranque en modo seguro, pero seleccione el símbolo del sistema en lugar de “Configuración de inicio”).
    2. Haga clic en “Ver opciones de recuperación más avanzadas”.
    3. Haga clic en “Solucionar problemas”.
    4. Haga clic en “Opciones avanzadas”.
    5. Haga clic en “Símbolo del sistema”.
  2. Una vez que esté en el símbolo del sistema, deberá montar su partición del sistema de Windows (ya que no se monta automáticamente):
    1. Escriba diskpart en el símbolo del sistema y presione Entrar .
    2. Escriba list disk y presione Enter. Verá algunos resultados con algunos discos (comenzando en 0) con tamaños. Por lo general, la unidad del sistema será la unidad 0. Puede adivinar el tamaño de la unidad.
    3. Escriba select disk x y presione Enter , donde x es la unidad del sistema de los resultados del paso 2.
    4. Escriba list part y presione Enter para ver una lista de particiones. Una instalación normal de Win 10 tendrá 4 particiones: 1 – Recuperación, 2 – Sistema, 3 – Reservado y 4 – Primario. Si no encuentra una partición primaria, cambie el disco (paso 3) y repita hasta que encuentre la partición del sistema.
    5. Escriba select part x , donde x es la partición principal del sistema (será la partición más grande del paso 4).
    6. Escriba asignar letra = Z y presione Entrar para asignar a su partición primaria una letra de unidad (Z).
    7. Salga de diskpart escribiendo exit y luego presionando Enter .
  3. Ahora necesitamos eliminar el controlador dudoso usando el comando dism:
    1. Ejecute dism / Image: Z: / Get-Drivers | more para mostrar una lista de controladores instalados. Cuando hice esto, abrió la lista de controladores en el bloc de notas. Utilice Ctrl-F para encontrar el controlador que está buscando y anote el nombre publicado (debe ser oemxx.inf).
    2. Ejecute dism / Image: Z: / Remove-Driver /Driver:oemxxx.inf donde oemxxx.inf es el nombre publicado del paso 1.
  4. Salga del símbolo del sistema escribiendo exit y luego presionando Enter . ¡Ahora reinicia tu computadora y cruza los dedos!

Otros usuarios señalaron esta información adicional:

  • “También me gustaría agregar que es posible que tenga varias instancias del controlador CorsairVBusDriver.sys, así que no deje de buscar solo una. (Me tomó un tiempo averiguarlo)”.
  • “Una diferencia crucial que tuve al seguir las instrucciones fue que cuando encontré el controlador de corsairvbus, pero no se llamaba Driver.oemxxx.inf como se muestra en las instrucciones. No recuerdo cuál era mi exactamente, pero si puedes acceder esa lista de controladores siga buscándola hasta que encuentre el controlador corsairvbus y luego reemplace la parte oemxxx.inf de la instrucción con la que pueda ser la suya “.

Si tiene problemas o necesita más ayuda, puede leer las diversas sugerencias o solicitar ayuda en el tema del foro.

Una vez que se haya eliminado el controlador CorsairVBusDriver.sys, debería poder reiniciar sin recibir el bloqueo.

Artículos relacionados:

Microsoft corrige fallas de BSOD de Windows 10 causadas por SSD NVMe

Versión preliminar de la actualización acumulativa de Windows 10 KB4586853

Microsoft pausa las vistas previas de la actualización acumulativa de Windows para diciembre

El cambio de actualización del controlador de Microsoft puede romper el plug-and-play de Windows 10

La actualización de Windows 10 KB4579311 no se instala, puede provocar un bloqueo del Explorador

Continue Reading

Trending

Copy link
Powered by Social Snap