Corrupción de memoria en Microsoft Exchange permitiría la ejecución remota de código (RCE)

Microsoft ha publicado parches para 129 errores de seguridad en su actualización del martes de parches de septiembre. Estos incluyen 23 fallas críticas, 105 que son importantes en gravedad y una falla moderada. 

Según Microsoft, ninguno es de conocimiento público o está bajo explotación activa.

El problema más grave del grupo es CVE-2020-16875 , según los investigadores. Este es un problema de corrupción de memoria en Microsoft Exchange que permite la ejecución remota de código (RCE) simplemente enviando un correo electrónico a un objetivo. La ejecución de código arbitrario podría otorgar a los atacantes el acceso que necesitan para crear nuevas cuentas, acceder, modificar o eliminar datos e instalar programas.

Justin Knapp, gerente de marketing de productos de Automox, agregó que si bien esta vulnerabilidad solo afecta a las versiones de Exchange Server 2016 y 2019, “el uso generalizado de Microsoft Exchange entre los usuarios comerciales y una alta puntuación CVSS de 9.1 indica que este parche debe tener una alta prioridad en la lista.»

Otra vulnerabilidad crítica de RCE que debe priorizarse para la aplicación de parches es CVE-2020-1210 , que existe en SharePoint debido a una falla al verificar el marcado de origen de un paquete de aplicación. Califica 9,9 sobre 10 en la escala de gravedad CVSS.

«Para aprovechar esta falla, un atacante debería poder cargar un paquete de aplicación de SharePoint en un sitio vulnerable de SharePoint», dijo Satnam Narang, ingeniero de investigación de personal de Tenable, por correo electrónico. «Esta vulnerabilidad recuerda a una falla similar de ejecución remota de código de SharePoint, CVE-2019-0604 , que ha sido explotada en la naturaleza por los actores de amenazas desde al menos abril de 2019».

Hay un total de siete errores de RCE que se están solucionando en SharePoint. Solo uno, CVE-2020-1460, requiere autenticación.

La gran cantidad de parches de septiembre también presenta varios otros errores de RCE, incluido uno en la biblioteca de códecs de Microsoft Windows ( CVE-2020-1129 , con una calificación de 8.8 CvSS), que es utilizado por múltiples aplicaciones y, por lo tanto, puede afectar una amplia gama de programas. Un atacante podría ejecutar código en una máquina víctima convenciendo a alguien de que vea un videoclip armado.

Otro problema crítico de RCE existe en el Modelo de objetos componentes (COM) de Microsoft para Windows ( CVE-2020-0922 ), que es un sistema independiente de la plataforma para crear componentes de software binarios que pueden interactuar entre sí. Al igual que el error anterior, es probable que haya varias aplicaciones que podrían verse afectadas por el error si usan COM. Califica 8.8 en la escala CvSS.

Mientras tanto, CVE-2020-16874 es una vulnerabilidad RCE crítica dentro de Visual Studio, con una calificación de 7.8. Un atacante podría aprovechar esta vulnerabilidad convenciendo a un usuario de que abra un archivo especialmente diseñado con una versión afectada del software.

Entre los otros errores notables ,  también se destacó CVE-2020-0951 , un error de omisión de características de seguridad de calificación importante en Windows Defender.