Microsoft ha abordado las vulnerabilidades críticas de ejecución remota de código en varias versiones de SharePoint con las actualizaciones de seguridad de Office de este mes.

En total, este mes la compañía lanzó 23 actualizaciones de seguridad y 5 actualizaciones acumulativas para 7 productos diferentes, solucionando 9 vulnerabilidades que podrían permitir a los atacantes ejecutar código arbitrario de forma remota en sistemas vulnerables.

Redmond también emitió las actualizaciones de seguridad del martes de parches de diciembre de 2020, con actualizaciones de seguridad para 58 vulnerabilidades, nueve de ellas calificadas como críticas.

Las actualizaciones de Windows que no son de seguridad también se lanzaron con las actualizaciones acumulativas KB4592449 y KB4592438 de Windows 10.

Error de ejecución remota de código previo a la autenticación de SharePoint

Los aspectos más destacados de las actualizaciones de seguridad de Microsoft Office de este mes son sin duda los dos errores de seguridad de RCE que afectan a Microsoft SharePoint.

Mientras que el primero registrado como CVE-2020-17121 requiere que los atacantes tengan privilegios de usuario básicos para la explotación, el segundo registrado como CVE-2020-17118 puede explotarse de forma remota sin autenticación.

Para aprovechar con éxito CVE-2020-17118 en ataques de baja complejidad, los atacantes también deben engañar a los objetivos para que abran archivos de Office creados con fines malintencionados.

Según la información proporcionada por Microsoft en el aviso de seguridad, el código de explotación de prueba de concepto CVE-2020-17118 también está disponible (aunque probablemente se comparta de forma privada):

El error fue descubierto por Jonathan Birch, ingeniero senior de software de seguridad del equipo de seguridad de Microsoft Office y afecta a Microsoft SharePoint Server 2019, Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Foundation 2013 Service Pack 1 y Microsoft SharePoint Foundation 2010 Service Pack 2.

“El código o la técnica no es funcional en todas las situaciones y puede requerir una modificación sustancial por parte de un atacante experto”, explica Microsoft.

Problemas de seguridad de Microsoft Office resueltos en este mes

Las actualizaciones de seguridad publicadas como parte del martes de parches de diciembre de 2020 abordan errores que podrían permitir la ejecución remota de código (RCE) en sistemas Windows que ejecutan ediciones vulnerables basadas en Click to Run y Microsoft Installer (.msi) de productos de Microsoft Office.

Los 9 errores de RCE parcheados este mes están clasificados por Microsoft como problemas de gravedad críticos o importantes, ya que pueden permitir a los atacantes ejecutar código arbitrario en el contexto del usuario actual después de una explotación exitosa.

Los atacantes podrían instalar programas maliciosos, ver, cambiar y eliminar datos, así como crear cuentas de administrador no autorizadas en los dispositivos Windows comprometidos.

Etiqueta ID CVE Título Gravedad
Microsoft Office CVE-2020-17130 Vulnerabilidad de omisión de la función de seguridad de Microsoft Excel Importante
Microsoft Office CVE-2020-17128 Vulnerabilidad de ejecución remota de código de Microsoft Excel Importante
Microsoft Office CVE-2020-17129 Vulnerabilidad de ejecución remota de código de Microsoft Excel Importante
Microsoft Office CVE-2020-17124 Vulnerabilidad de ejecución remota de código de Microsoft PowerPoint Importante
Microsoft Office CVE-2020-17123 Vulnerabilidad de ejecución remota de código de Microsoft Excel Importante
Microsoft Office CVE-2020-17119 Vulnerabilidad de divulgación de información de Microsoft Outlook Importante
Microsoft Office CVE-2020-17125 Vulnerabilidad de ejecución remota de código de Microsoft Excel Importante
Microsoft Office CVE-2020-17127 Vulnerabilidad de ejecución remota de código de Microsoft Excel Importante
Microsoft Office CVE-2020-17126 Vulnerabilidad de divulgación de información de Microsoft Excel Importante
Microsoft Office CVE-2020-17122 Vulnerabilidad de ejecución remota de código de Microsoft Excel Importante
Microsoft Office SharePoint CVE-2020-17115 Vulnerabilidad de suplantación de identidad de Microsoft SharePoint Moderar
Microsoft Office SharePoint CVE-2020-17120 Vulnerabilidad de divulgación de información de Microsoft SharePoint Importante
Microsoft Office SharePoint CVE-2020-17121 Vulnerabilidad de ejecución remota de código de Microsoft SharePoint Crítico
Microsoft Office SharePoint CVE-2020-17118 Vulnerabilidad de ejecución remota de código de Microsoft SharePoint Crítico
Microsoft Office SharePoint CVE-2020-17089 Vulnerabilidad de elevación de privilegios de Microsoft SharePoint Importante

Actualizaciones de seguridad de Microsoft Office de diciembre de 2020

Las actualizaciones de seguridad de Microsoft Office se entregan a través de la plataforma Microsoft Update y a través del Centro de descargas.

Más detalles sobre cada uno de ellos, incluidos los ID de CVE, están disponibles en los artículos de la base de conocimientos vinculados a continuación.

Para descargar las actualizaciones de seguridad de Microsoft Office de diciembre de 2020, haga clic en el artículo de la base de conocimientos correspondiente a continuación y luego desplácese hacia abajo hasta la sección ‘ Cómo descargar e instalar la actualización ‘.

Microsoft Office 2016

Producto Título y número del artículo de la base de conocimientos
Excel 2016 Actualización de seguridad para Excel 2016 (KB4486754)
Oficina 2016 Actualización de seguridad para Office 2016 (KB4486757)
Outlook 2016 Actualización de seguridad para Outlook 2016 (KB4486748)
PowerPoint 2016 Actualización de seguridad para PowerPoint 2016 (KB4484393)

Microsoft Office 2013

Producto Título y número del artículo de la base de conocimientos
Excel 2013 Actualización de seguridad para Excel 2013 (KB4493139)
Oficina 2013 Actualización de seguridad para Outlook 2013 (KB4486732)
PowerPoint 2013 Actualización de seguridad para PowerPoint 2013 (KB4484468)

Microsoft Office 2010

Producto Título y número del artículo de la base de conocimientos
Excel 2010 Actualización de seguridad para Excel 2010 (KB4493148)
Oficina 2010 Actualización de seguridad para Office 2010 (KB4493140)
Oficina 2010 Actualización de seguridad para Office 2010 (KB4486698)
Outlook 2010 Actualización de seguridad para Outlook 2010 (KB4486742)
PowerPoint 2010 Actualización de seguridad para PowerPoint 2010 (KB4484372)

Microsoft SharePoint Server 2019

Producto Título y número del artículo de la base de conocimientos
Servidor en línea de Office Actualización de seguridad para Office Online Server (KB4486750)
SharePoint Server 2019 Actualización de seguridad para SharePoint Server 2019 (KB4486751)
Paquete de idioma de SharePoint Server 2019 Actualización de seguridad para el paquete de idioma de SharePoint Server 2019 (KB4486752)

Microsoft SharePoint Server 2016

Producto Título y número del artículo de la base de conocimientos
SharePoint Enterprise Server 2016 Actualización de seguridad para SharePoint Enterprise Server 2016 (KB4486753)
SharePoint Enterprise Server 2016 Actualización de seguridad para SharePoint Enterprise Server 2016 (KB4486721)

Microsoft SharePoint Server 2013

Producto Título y número del artículo de la base de conocimientos
Office Web Apps Server 2013 Actualización de seguridad para Office Web Apps Server 2013 (KB4486760)
Project Server 2013 Actualización acumulativa para Project Server 2013 (KB4486763)
SharePoint Enterprise Server 2013 Actualización acumulativa para SharePoint Enterprise Server 2013 (KB4493137)
SharePoint Foundation 2013 Actualización acumulativa para SharePoint Foundation 2013 (KB4486761)
SharePoint Foundation 2013 Actualización de seguridad para SharePoint Foundation 2013 (KB4493138)
SharePoint Foundation 2013 Actualización de seguridad para SharePoint Foundation 2013 (KB4486696)

Microsoft SharePoint Server 2010

Producto Título y número del artículo de la base de conocimientos
Project Server 2010 Actualización acumulativa para Project Server 2010 (KB4493144)
SharePoint Foundation 2010 Actualización de seguridad para SharePoint Foundation 2010 (KB4493149)
SharePoint Server 2010 Actualización acumulativa para SharePoint Server 2010 (KB4493146)
SharePoint Server 2010 Actualización de seguridad para SharePoint Server 2010 (KB4486697)
Aplicaciones web de Office SharePoint Server 2010 Actualización de seguridad para las aplicaciones web de Office SharePoint Server 2010 (KB4486704)