El Martes de Actualizaciones de Microsoft correspondiente al mes de abril de 2016 marca el primer lanzamiento del boletín regular desde que TippingPoint, DVLabs y la Zero Day Initiative son parte de Trend Micro. También es el primer lanzamiento regular del boletín desde que se realizó el evento Pwn2Own 2016.
El lanzamiento de abril también es relevante debido a la preocupación que existe alrededor de la llamada vulnerabilidad “Badlock” y a la expectativa de que sería enfrentada por Samba y Microsoft.
Primero lo primero: Samba y Microsoft enfrentaron hoy a la vulnerabilidad “Badlock”. La Vulnerabilidad Badlock en Samba es la CVE-2016-2118 y ha sido parchada para Samba 4.4.2, 4.3.8 y 4.2.11. Para Microsoft Windows, Badlock es CVE-2016-0128 y se solucionó en el Boletín de Seguridad de Microsoft MS16-047.
En la algarabía posterior al controversial anuncio de la vulnerabilidad “Badlock” en marzo pasado, algunas personas predijeron que podría ser tan mala como MS08-067, la vulnerabilidad que fue explotada por el gusano Conficker. Conficker fue mi adversario. Pero tú, Badlock, no eres Conficker. Para parafrasear al ex candidado a la vicepresidencia de Estados Unidos Lloyd Bentsen en 1998: Ya conocía a Conficker. Como mi colega Pawan Kinger señala en su blog publicado aquí, las dos vulnerabilidades se parecen tanto una a la otra en términos de severidad o explotación. Sí, Badlock es algo que debe parcharse, pero no debe encabezar su lista de prioridades. Y para entender qué tan malo es realmente Conficker, es importante señalar que SIETE años después del importante brote de Conficker en 2008/2009, Conficker/DOWNAD es AÚN el principal malware que afecta a las organizaciones en algunas partes del mundo, de acuerdo con nuestro Resumen Anual de Seguridad 2015 (página 28).
En lugar de MS16-047, lo que debe encabezar su lista de prioridades son las actualizaciones de seguridad enfocadas en Adobe Flash, Microsoft Windows, Microsoft Internet Explorer y Microsoft Edge: MS16-050, MS16-037, MS16-039, MS16-042, MS16-038, y MS16-040. Éstas han sido consideradas como “Críticas” por Microsoft y tienen calificaciones del índice de explotación de 1 o 2. La actualización para Adobe Flash (MS16-050) fue liberada originalmente fuera de banda directamente por Adobe la semana pasada como APSB16-10 y enfrenta los ataques de día cero contra las versiones anteriores que nosotros y otros reportaron la semana pasada. Hoy, Microsoft también está ofreciendo una actualización a través de su canal.
Este mes hay un total de 10 vulnerabilidades parchadas que se fueron reportadas por nuestra Zero Day Initiative, o a través de ella. Las soluciones de hoy incluyen las cuatro vulnerabilidades de Adobe que se encontraron en Pwn2Own 2016. Con esta liberación, Adobe ha solucionado todas sus vulnerabilidades lo que lo hace el primer proveedor en solucionar todas sus vulnerabilidades encontradas durante Pwn2Own 2016.
Protección para los Clientes
Los Clientes de Deep Security y Vulnerability Protection están protegidos contra MS16-047 con la actualización de Deep Security DSRU16-009, liberada el 12 de abril de 2016.
Los clientes de TippingPoint cuentan con las siguientes protecciones con filtros para estas vulnerabilidades:
- CVE-2016-1015 ZDI-16-227 24027
- CVE-2016-1016 ZDI-16-226 24024
- CVE-2016-1017 ZDI-16-225 24025
- CVE-2016-1018 ZDI-16-228 24022
- CVE-2016-0157 ZDI-16-232 22747
- CVE-2016-0158 ZDI-16-233 24036
- CVE-2016-0159 ZDI-16-231 24113
- CVE-2016-0166 ZDI-16-230 24115
- CVE-2016-0148 ZDI-16-234 24263
MS16-047 (Badlock)
- CVE-2016-0128 NA 24259 & 24260
La lección del lanzamiento de hoy es que dar a conocer la información de manera anticipada tiene sus riesgos: el riesgo de tener mucha publicidad y el riesgo de no asignar correctamente los recursos de seguridad. Muchas organizaciones se estaban preparando hoy para el riesgo más serio que enfrentan por ser una vulnerabilidad no autenticada, basada en la red, que ejecuta código en el contexto de SYSTEM. Eso es lo que era Conficker. En cambio, hoy los problemas más serios son las vulnerabilidades con vectores de ataques en el navegador y que pueden ejecutar código, pero en el contexto de la seguridad del usuario. Ahora muchas organizaciones tienen que replantear sus estrategias de prueba y de implementación para lidiar con las amenazas actuales en lugar hacerlo con las amenazas esperadas.
Por favor, dígame lo que piensa en la sección de comentarios, o sígame en Twitter; @ChristopherBudd.
Leave a Reply