Actualización de seguridad de Microsoft para enero de 2016

¿Cuál es el propósito de esta alerta?

 

Esta alerta es para ofrecerle una descripción general de las actualizaciones de seguridad publicados el 12 de enero de 2016. Las actualizaciones de seguridad se publican mensualmente para tratar las vulnerabilidades de seguridad que afectan a productos de Microsoft.

 

Nuevos boletines de seguridad

 

Microsoft publica los siguientes nueve nuevos boletines de seguridad para vulnerabilidades recientemente descubiertas:

 

ID del boletín

Título del boletín

Calificación máxima de la gravedad

Impacto de la vulnerabilidad

Se requiere reinicio

Software afectado

MS16-001

Actualización de seguridad acumulada para Internet Explorer (3124903)

Crítica

Ejecución del código remoto

Requiere reiniciar

Internet Explorer en todas las ediciones con soporte de Windows.

MS16-002

Actualización de seguridad acumulada para Microsoft Edge (3124904)

Crítica

Ejecución del código remoto

Requiere reiniciar

Microsoft Edge en Windows 10.

MS16-003

Actualización de seguridad acumulada para JScript y VBScript que aborda la ejecución remota de código (3125540)

Crítica

Ejecución del código remoto

Puede requerir reinicio

El motor de secuencias de comandos VBScript en las ediciones compatibles con Microsoft Windows Server 2003, Windows Vista, Windows Server 2008 y las instalaciones Server Core de Windows Server 2008 R2.

MS16-004

Actualización de seguridad para Microsoft Office que abordan la ejecución remota de código (3124585)

Crítica

Ejecución del código remoto

Puede requerir reinicio

Microsoft Office 2007, Office 2010, Office 2013, Office 2013 RT, Office 2016, Office para Mac 2011, Office 2016 para Mac, Paquete de compatibilidad de Office SP3, Excel Viewer, Word Viewer, SharePoint Server 2013, SharePoint Foundation 2013 y Visual Basic Runtime 6.0.

MS16-005

Actualización de seguridad para Microsoft Windows en modo de kernel que aborda la ejecución remota de código (3124584)

Crítica

Ejecución del código remoto

Requiere reiniciar

Todas las ediciones con soporte de Microsoft Windows.

MS16-006

Actualización de seguridad para Silverlight que abordan la ejecución remota de código (3126036)

Crítica

Ejecución del código remoto

No es necesario un reinicio

Microsoft Silverlight 5 y Silverlight 5 Developer Runtime.

MS16-007

Actualización de seguridad para Microsoft Windows que abordan la ejecución remota de código (3124901)

Importante

Ejecución del código remoto

Requiere reiniciar

Todas las ediciones con soporte de Microsoft Windows.

MS16-008

Actualización de seguridad para el kernel de Microsoft Windows que aborda la elevación de privilegios (3124605)

Importante

Elevación de privilegios

Requiere reiniciar

Todas las ediciones con soporte de Microsoft Windows.

MS16-010

Actualización de seguridad para Microsoft Exchange Server que aborda el Spoofing o robo de identidad (3124557)

Importante

Falsificación

Puede requerir reinicio

Todas las ediciones compatibles con Microsoft Exchange Server 2013 y Exchange Server 2016.

Nota: se omitió el identificador de boletín MS16-009 intencionalmente. Esto no es un error de impresión.

 

Los resúmenes para nuevos boletines se pueden encontrar en http://technet.microsoft.com/security/bulletin/MS16-jan.

 

Herramienta de eliminación de software malintencionado y actualizaciones que no son de seguridad

 

  • Microsoft ha liberado una versión actualizada de la Herramienta de eliminación de software malintencionado en Microsoft Windows en Windows Server Update Services (WSUS), Windows Update (WU) y el Centro de descargas. La información sobre la Herramienta de eliminación de software malicioso en Microsoft Windows está disponible en https://support.microsoft.com/kb/890830.

 

  • Las actualizaciones de Microsoft no relacionadas con seguridad de alta prioridad que estarán disponibles en Microsoft Update (MU), Windows Update (WU) o Windows Server Update Services (WSUS) se detallan en el artículo de KB encontrado en https://support.microsoft.com/kb/894199.

 

Nuevos avisos de seguridad

 

Microsoft publicó tres nuevos avisos de seguridad en enero 12, 2016. Esta es una visión general de estos nuevos avisos de seguridad:

 

Nuevo aviso de seguridad (1 de 3)

 

Aviso de seguridad 3109853

Actualización para mejorar la Interoperabilidad para la reanudación de la sesión TLS

Resumen ejecutivo

Microsoft anuncia la disponibilidad de una actualización para mejorar la interoperabilidad entre los clientes TLS basados ??en Schannel y servidores TLS de tercera partes que permita la reanudación mediante RFC5077 y que envía el mensaje NewSessionTicket en el apretón de manos o handshake TLS abreviado. La actualización corrige un problema en schannel.dll que podría causar la falla de la reanudación mediante el ticket de sesión RFC5077 y posteriormente cause que los clientes WinInet-(por ejemplo, Internet Explorer y Microsoft Edge) realicen una reserva para una versión del protocolo TLS menor que la que habría sido negociado de otra manera. Esta mejora es parte de los esfuerzos para reforzar la eficacia de cifrado en Windows. Para obtener detalles adicionales y la guía de implementación, consulte el artículo 3109853 de la base de conocimiento de Microsoft.

Software afectado

  • Windows 8.0
  • Windows 8.1
  • Windows RT
  • Windows RT 8.1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 10
  • Windows 10 Versión 1511
  • Windows Server 2012 – Server Core Installation
  • Windows Server 2012 R2 – Server Core Installation

Acciones recomendadas

Microsoft recomienda instalar esta actualización vía Windows Update cuando se ofrece automáticamente a los sistemas afectados.

Para obtener más información:

https://technet.microsoft.com/library/security/3109853 

 

Nuevo aviso de seguridad (2 de 3)

 

Aviso de seguridad 3118753

Las actualizaciones de bits de interrupción de ActiveX 3118753

Resumen ejecutivo

Microsoft publica un nuevo conjunto de bits de interrupción de ActiveX con este documento informativo. Estos bits de interrupción de ActiveX se incluyen en la actualización acumulativa de Internet Explorer lanzada el 12 de enero el 2016. Esta actualización configura los bits de interrupción para el siguiente software de terceros:

  • IBM Endpoint Manager para el Control Remoto (versión 9.0.1 y posteriores) e IBM Assist On-site (versión 4.0.0). El siguiente identificador de Clase se relaciona con una solicitud por parte de IBM para establecer un bit de interrupción para un control ActiveX que sea vulnerable.
  • El identificador de clase (CLSID) de este control ActiveX es:
    {D4C0DB38-B682-42A8-AF62-DB9247543354}

Software afectado

Versiones compatibles con Internet Explorer en todas las versiones con soporte de Windows.

Acciones recomendadas

Microsoft recomienda a los clientes instalar el Internet Explorer de actualización acumulativa aplicable:

  • Para sistemas que ejecutan Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 o Windows RT 8.1, instale la actualización 3124275.
  • Para los sistemas que ejecutan Windows 10, instale la actualización 3124266.
  • Para los sistemas que ejecutan Windows 10 versión 1511, instale la actualización de 3124263.

Para obtener más información:

https://technet.microsoft.com/library/security/3118753

 

Nuevo aviso de seguridad (3 de 3)

 

Aviso de seguridad 3123479

Depreciación del Algoritmo de hash SHA-1 para el Programa de certificado raíz de Microsoft

Resumen ejecutivo

Microsoft ha publicado un cambio de desaprobación del signo de código SHA-1 a partir del 1 de enero de 2016, centrada en la actividad del cliente que sólo puede ocurrir cuando un cliente descarga archivos de Internet. Este cambio es específico para un nuevo ajuste predeterminado de Windows y los clientes pueden reemplazar o aumentar la configuración predeterminada en su entorno.

Para los clientes que ejecuten Internet Explorer o Microsoft Edge que hayan descargado un archivo firmado SHA-1 de Internet con sello de tiempo y liberado el 1 de enero de 2016, o después, SmartScreen marcará el archivo como no confiable. Este estado no impide que los clientes descarguen el archivo o ejecuten estos navegadores en sus equipos. Pero a los clientes se les advierte que el archivo no es confiable.

Este cambio sólo afecta los archivos Mark-of-the-Web (MOTW) bajados de Internet. Los archivos con sellos de tiempo anteriores al 1 de enero de 2016 seguirán siendo confiables. Los controladores con firmas comprobadas por la Integridad de Código no se ven afectados por este cambio. Para cumplir con los últimos requisitos para la firma de controladores, consulte el blog ??certificación de hardware de Windows.

Software afectado

  • Windows 7
  • Windows Server 2008 R2
  • Windows 8.0
  • Windows 8.1
  • Windows RT
  • Windows RT 8.1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 10
  • Windows 10 Versión 1511
  • Windows Server 2008 R2 – Server Core Installation
  • Windows Server 2012 – Server Core Installation
  • Windows Server 2012 R2 – Server Core Installation

Acciones recomendadas

Revise los cambios en la política del Programa de Microsoft de certificados raíz

Los clientes que estén interesados ??en aprender más sobre el tema tratado en este documento debe revisar el Cumplimiento de la firma y sello de tiempo del código de autenticidad de Windows.

 

Actualización de SHA-1 a SHA-2

Las autoridades de certificación ya no deberían firmar certificados recién generadas utilizando el algoritmo de hash SHA-1. Los clientes deben asegurarse de que sus autoridades de certificación estén utilizando el algoritmo de hash SHA-2 para obtener certificados SHA-2 de sus autoridades de certificación. Para firmar código con los certificados SHA-2, consulte la guía sobre este tema en el Cumplimiento de la firma y sello de tiempo del código de autenticidad de Windows.

Impacto de la acción: Las soluciones anteriores en el hardware pueden requerir una actualización para brindar soporte a estas nuevas tecnologías.

 

Mantenga Windows actualizado

Todos los usuarios de Windows deben aplicar las últimas actualizaciones de seguridad de Microsoft para ayudar a asegurarse de que sus equipos están protegidos al máximo. Si no está seguro que su software está actualizado, visite Windows Update, explore su PC para que busque las actualizaciones disponibles, e instale las actualizaciones de alta prioridad que se ofrecen. Si tiene activado las Actualizaciones automáticas, se le entregarán a su liberación, pero usted tiene que asegurarse de instalarlos.

Para obtener más información:

https://technet.microsoft.com/library/security/3123479

 

 

Nuevos detalles técnicos sobre el boletín de seguridad

 

El boletín de seguridad y los detalles técnicos de los avisos se establecen en el apartado correspondiente de las plantillas de correo electrónico adjuntas. Los detalles técnicos del boletín están disponibles internamente en este lugar Web: https://microsoft.sharepoint.com/teams/Security/BP/FAQs

 

Nuevo boletín de seguridad (1 de 9)

 

Identificador
del boletín

Boletín de seguridad de Microsoft MS16-001

[superior]

Título del boletín

Actualización de seguridad acumulada para Internet Explorer (3116180)

Resumen ejecutivo

Esta actualización de seguridad resuelve las vulnerabilidades reportadas en Internet Explorer. La vulnerabilidades más graves podrían permitir la ejecución remota de código si un usuario visita una página Web especialmente diseñada usando Internet Explorer. Un atacante que explote con éxito esta vulnerabilidad podría obtener los mismos derechos que el usuario actual. Si el usuario actual está conectado con derechos de administrador, un atacante que haya explotado con éxito esta vulnerabilidad podría tomar el control del sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos del usuario.

 

La actualización de seguridad corrige las vulnerabilidades al modificar la forma en que VBScript trata los objetos en la memoria, y ayudar a asegurar que las directrices de dominios cruzados se aplican correctamente en Internet Explorer.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Crítica para Internet Explorer 7 (IE 7), Internet Explorer 8 (IE8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) e Internet Explorer 11 (IE 11) en los clientes de Windows afectados, y Moderada en Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) e Internet Explorer 11 (IE 11) de los servidores de Windows afectados.

Vectores de ataque

Un atacante podría alojar un sitio Web especialmente diseñado para explotar la vulnerabilidad en Internet Explorer y, a continuación, convencer a un usuario para que vea el sitio Web. El atacante también podría aprovechar sitios Web vulnerables y los sitios Web que aceptan o alojan contenido proporcionado por el usuario o anuncios añadiendo contenido especialmente diseñado que permita aprovechar la vulnerabilidad.

Factores atenuantes

  • Un atacante no puede forzar a los usuarios a ver el contenido controlado por éste. En su lugar, un atacante tendría que convencer a los usuarios para que tomen una acción, por lo general al ofrecer un incentivo en un correo electrónico o mensaje instantáneo, y hacer que abran un archivo adjunto enviado por correo.
  • La explotación sólo gana los mismos derechos de usuario que la cuenta de inicio de sesión. Las cuentas configuradas para tener los privilegios mínimos necesarios estarían en menor riesgo.
  • De forma predeterminada, todos los clientes de correo electrónico de Microsoft abren mensajes de correo electrónico HTML en la zona de Sitios restringidos.
  • De forma predeterminada, Internet Explorer se ejecuta en un modo restringido para todos los servidores de Windows.

Se requiere reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados por esta actualización

MS15-124

Todos los detalles

https://technet.microsoft.com/library/security/MS16-001

 

 

Nuevo boletín de seguridad (2 de 9)

 

Identificador
del boletín

Boletín de seguridad de Microsoft MS16-002

[superior]

Título del boletín

Actualización de seguridad acumulada para Microsoft Edge (3124904)

Resumen ejecutivo

Esta actualización de seguridad resuelve las vulnerabilidades reportadas en Microsoft Edge. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita una página Web especialmente diseñada usando Microsoft Edge. La actualización trata la vulnerabilidad al modificar la forma en que Microsoft Edge maneja objetos en la memoria.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Crítica para Microsoft Edge en Windows 10.

Vectores de ataque

Un atacante podría alojar un sitio Web especialmente diseñado para explotar esta vulnerabilidad en Microsoft Edge y, a continuación, convencer a un usuario para que vea el sitio Web. El atacante también podría aprovechar sitios Web vulnerables y los sitios Web que aceptan o alojan contenido proporcionado por el usuario o anuncios añadiendo contenido especialmente diseñado que permita aprovechar la vulnerabilidad. Si el usuario actual está conectado con derechos de administrador, un atacante que haya explotado con éxito la vulnerabilidad podría tomar el control complete del sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos del usuario. La actualización de seguridad trata las vulnerabilidades al modificar la forma en que Microsoft Edge maneja objetos en la memoria.

Factores atenuantes

  • Un atacante no puede forzar a los usuarios a ver el contenido controlado por éste. En su lugar, un atacante tendría que convencer a los usuarios para que tomen una acción, por lo general al ofrecer un incentivo en un correo electrónico o mensaje instantáneo, y hacer que abran un archivo adjunto enviado por correo.
  • Un atacante que explote con éxito estas vulnerabilidades podrá conseguir los mismos derechos del usuario. Las cuentas configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que las configuradas con derechos administrativos.

Se requiere reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados por esta actualización

MS15-125

Todos los detalles

https://technet.microsoft.com/library/security/MS16-002

 

 

Nuevo boletín de seguridad (3 de 9)

 

Identificador
del boletín

Boletín de seguridad de Microsoft MS16-003

[superior]

Título del boletín

Actualización de seguridad acumulada para JScript y VBScript que aborda la ejecución remota de código (3125540)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad en el motor de secuencias de comandos en VBScript en Microsoft Windows. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita un sitio Web especialmente diseñado. Un atacante podría también incrustar un control ActiveX marcado como "seguro para la inicialización" en una aplicación o documento de Microsoft Office que aloja el motor de interpretación de IE.  Un atacante que explote con éxito esta vulnerabilidad podría obtener los mismos derechos que el usuario actual. Si el usuario actual está conectado con derechos de administrador, un atacante que haya explotado con éxito esta vulnerabilidad podría tomar el control del sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos del usuario. La actualización resuelve la vulnerabilidad al modificar la forma en que el motor de secuencia de comandos en VBScript maneja objetos en la memoria.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Crítica para las versiones afectadas del motor de secuencias de comando VBScript en las ediciones compatibles de Windows Vista, Windows Server 2008 y las instalaciones Server Core de Windows Server 2008 R2.

Vectores de ataque

Un atacante podría alojar un sitio Web especialmente diseñado para explotar la vulnerabilidad en Internet Explorer y, a continuación, convencer a un usuario para que vea el sitio Web. El atacante también podría aprovechar sitios Web vulnerables y los sitios Web que aceptan o alojan contenido proporcionado por el usuario o anuncios añadiendo contenido especialmente diseñado que permita aprovechar la vulnerabilidad.

Factores atenuantes

  • Un atacante no puede forzar a los usuarios a ver el contenido controlado por éste. En su lugar, un atacante tendría que convencer a los usuarios para que tomen una acción, por lo general al ofrecer un incentivo en un correo electrónico o mensaje instantáneo, y hacer que abran un archivo adjunto enviado por correo.
  • La explotación sólo gana los mismos derechos de usuario que la cuenta de inicio de sesión. Las cuentas configuradas para tener los privilegios mínimos necesarios estarían en menor riesgo. 

Se requiere reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

MS15-126

Todos los detalles

https://technet.microsoft.com/library/security/MS16-003

 

 

Nuevo boletín de seguridad (4 de 9)

 

Identificador
del boletín

Boletín de seguridad de Microsoft MS16-004

[superior]

Título del boletín

Actualización de seguridad para Microsoft Office que abordan la ejecución remota de código (3124585)

Resumen ejecutivo

Esta actualización de seguridad resuelve las vulnerabilidades reportadas en Microsoft Office. La más severa de las vulnerabilidades podría permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado. La actualización de seguridad corrige las vulnerabilidades al:

  • Corregir cómo Microsoft Office trata los objetos en la memoria.
  • Asegurar que Microsoft SharePoint hace cumplir correctamente los ajustes de configuración ACP
  • Ayudar a garantizar que Microsoft Office implemente adecuadamente la función de seguridad ASLR

Clasificaciones de gravedad y software afectado

Microsoft Office 2007, Office 2010, Office 2013, Office 2016, Office 2013 RT, Office para Mac 2011, Office 2016 para Mac, el Paquete de compatibilidad de Office, Microsoft Excel Viewer, Word Viewer, Microsoft SharePoint Foundation 2013 SP1 y Visual Basic Runtime 6.0

Vectores de ataque

CVE-2016-0010 y CVE 2016-0035 – Vulnerabilidades a daños en la memoria de Office

Para explotar las vulnerabilidades, un usuario debe abrir un archivo especialmente diseñado con una versión afectada del software de Microsoft Office. En un escenario de ataque por correo electrónico, un atacante podría explotar las vulnerabilidades enviando el archivo especialmente diseñado al usuario y al convencerlo de que lo abra. En caso de un ataque por la Web, un atacante podría alojar un sitio Web (o aprovechar uno comprometido que acepte o reciba contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para aprovechar las vulnerabilidades. La actualización de seguridad trata las vulnerabilidades mediante la corrección de cómo Office maneja objetos en la memoria.

 

CVE-2016-0011 y CVE 2016-0017 – Vulnerabilidades por el desvío de la función de seguridad de SharePoint

Para explotar las desviaciones, un atacante podría añadir un guión a un elemento Web, en un sitio de SharePoint, que sólo un administrador del sitio de SharePoint normalmente podría añadir, y luego usar el elemento Web en un ataque de scripting de sitio cruzado en el contexto de un usuario que visita el sitio de SharePoint. Las desviaciones podrían permitir al atacante leer contenidos no autorizados, y llevar a cabo acciones en el sitio de SharePoint como usuario, tales como cambiar permisos, eliminar contenidos e inyectar contenido malicioso en el navegador del usuario. La actualización corrige los desvíos al asegurar que los valores de configuración ACP se aplican correctamente.

 

CVE-2016-0012 – Vulnerabilidad por el desvío de ASLR en Office

Existe una desviación de seguridad cuando Microsoft Office no puede utilizar la característica de seguridad del Uso aleatorio del diseño de espacio de dirección (Address Space Layout Randomization, o ASLR), lo que permite a un atacante predecir con mayor seguridad las compensaciones de memoria de instrucciones específicas en una pila de llamadas dada. Un atacante que explote con éxito esta vulnerabilidad podría desviar la función de seguridad del ASLR, que ayuda a proteger a los usuarios de una amplia clase de vulnerabilidades. El desvío de la función de seguridad por sí mismo no permite la ejecución de código arbitrario. Sin embargo, un atacante podría usar esta desviación ASLR en conjunto con otra vulnerabilidad, como una vulnerabilidad de ejecución remota de código, para ejecutar de manera más confiable código arbitrario en un sistema de destino. En un escenario de navegación Web, la explotación exitosa del desvío ASLR requiere que un usuario haya iniciado sesión y ejecute una versión afectada de Microsoft Office. Entonces, el usuario necesita navegar a un sitio malicioso. Por lo tanto, cualquier sistema en el que se utilice un navegador Web de manera habitual, como estaciones de trabajo o servidores de terminales, están más expuestos a desviaciones ASLR. Los servidores podrían correr un mayor riesgo si los administradores permiten a los usuarios explorar y leer correo electrónico en los servidores. Sin embargo, las prácticas recomendadas desaconsejan permitir esto. La actualización corrige la desviación ASLR al ayudar a garantizar que las versiones afectadas de Microsoft Office implementen adecuadamente la función de seguridad ASLR.

Factores atenuantes

CVE-2016-0010 y CVE 2016-0035 Vulnerabilidades por daños en la memoria de Office

  • Un agresor no tendría forma de obligar al usuario a visitar un sitio Web. En su lugar, un atacante tendría que convencer a los usuarios para que haga clic en un vínculo, por lo general al ofrecer un incentivo en un correo electrónico o mensaje instantáneo, y después convencerlos de que abran un archivo especialmente diseñado.
  • Un atacante que consiguiera aprovechar la vulnerabilidad podría ejecutar código arbitrario en el contexto del usuario actual. Los clientes cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema tendrían menos riesgo que aquellos que operan con derechos administrativos.

 

CVE-2016-0012 – Vulnerabilidad por el desvío de ASLR en Office

  • En un escenario de navegación Web, la explotación exitosa del desvío ASLR requiere que un usuario haya iniciado sesión y ejecute una versión afectada de Microsoft Office. Entonces, se necesita convencer al usuario para que navegue a un sitio malicioso. Un agresor no tendría forma de obligar al usuario a visitar un sitio Web.

Se requiere reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

MS12-060, MS14-124, MS15-110, MS15-116 y MS15-131

Todos los detalles

https://technet.microsoft.com/library/security/MS16-004

 

 

Nuevo boletín de seguridad (5 de 9)

 

Identificador
del boletín

Boletín de seguridad de Microsoft MS16-005

[superior]

Título del boletín

Actualización de seguridad para Windows en modo de kernel que aborda la ejecución remota de código (3124584)

Resumen ejecutivo

Esta actualización de seguridad resuelve dos vulnerabilidades en Microsoft Windows. Las vulnerabilidades más graves podrían permitir la ejecución remota de código si un usuario visita un sitio Web malicioso. La actualización de seguridad trata las vulnerabilidades mediante la corrección de cómo Windows maneja objetos en la memoria.

 

CVE-2016-0009 – Win32k vulnerabilidad de ejecución remota de código

Existe una vulnerabilidad de ejecución remota de código en la forma en que Windows trata los objetos en memoria. Un atacante que explote con éxito esta vulnerabilidad podría ejecutar código arbitrario en el sistema objetivo. Para aprovechar esta vulnerabilidad, un atacante primero tendría que convencer a un usuario para que visite una página Web maliciosa que aprovechara la vulnerabilidad y ejecutar código arbitrario con los privilegios de inicio de sesión del usuario. La actualización de seguridad trata esta vulnerabilidad mediante la corrección de cómo Windows maneja objetos en la memoria.

 

CVE-2016-0008 – GDI32.dll Vulnerabilidad de desvío de ASLR

Existe una vulnerabilidad de desvío de la función de seguridad en la forma en que la interfaz del dispositivo gráfico de Windows trata los objetos en la memoria, lo que permite a un atacante recuperar información que pueda conducir a un desvío de ASLR. La actualización de seguridad corrige la vulnerabilidad al modificar la forma en la interfaz de dispositivo gráfico de Windows maneja las direcciones de memoria, lo que ayuda a proteger la integridad de la función de seguridad ASLR.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Crítica para todas las versiones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2; Importante para todas las versiones compatibles de Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows 10 y Windows 10 Versión 1511.

Vectores de ataque

CVE-2016-0009 – Win32k vulnerabilidad de ejecución remota de código

Existe una vulnerabilidad de ejecución remota de código en la forma en que Windows trata los objetos en memoria. Para aprovechar esta vulnerabilidad, un atacante primero tendría que convencer a un usuario para que visite una página Web maliciosa que aprovechara la vulnerabilidad y ejecutar código arbitrario con los privilegios de inicio de sesión del usuario. Un atacante que explote con éxito esta vulnerabilidad podría ejecutar código arbitrario en el sistema objetivo.

 

CVE-2016-0008 – GDI32.dll Vulnerabilidad de desvío de ASLR

Para explotar esta vulnerabilidad, en un escenario de ataque en la Web, un atacante podría alojar un sitio Web especialmente diseñado para explotar la vulnerabilidad con Internet Explorer, y entonces convencer a los usuarios para que vean el sitio Web. Esto también podría incluir páginas Web comprometidas o sitios Web que acepten o alojen contenido o anuncios de banner proporcionados por el usuario; dichos sitios Web podrían incluir contenido especialmente diseñado para aprovechar esta vulnerabilidad. En un supuesto de un ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad si envía a los usuarios de Outlook un correo electrónico o un documento de Office especialmente diseñados como un archivo adjunto, y convence al usuario para que lea el mensaje o abra el archivo.

 

Un atacante también podría aprovechar esta vulnerabilidad alojando un archivo malintencionado en un recurso compartido de red y convencer a los usuarios para que naveguen hasta la carpeta en el Explorador de Windows.

Factores atenuantes

CVE-2016-0009 – Win32k vulnerabilidad de ejecución remota de código

  • Para explotar esta vulnerabilidad, un atacante tendría primero que convener a un usuario que visite un sitio Web malicioso. Tal ataque podría aprovechar la vulnerabilidad para ejecutar código con el que se conectó con los privilegios del usuario.

 

CVE-2016-0008 – GDI32.dll Vulnerabilidad de desvío de ASLR

  • Un agresor no tendría forma de obligar al usuario a visitar sitios Web maliciosos. En su lugar, un atacante tendría que convencer a los usuarios hacer eso, por lo general al lograr que hagan clic en un vínculo de un mensaje de correo electrónico o solicitud de mensaje instantáneo.
  • En un supuesto de un ataque por correo electrónico, un atacante tendría que convencer al usuario objetivo para que lea el mensaje o abrir el archivo adjunto.
  • En el supuesto de un ataque a recursos compartidos de la red, el atacante tendría que convencer al usuario objetivo a que navegue hasta la carpeta en Windows Explorer.

Se requiere reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados por esta actualización

MS15-072 y MS15-073

Todos los detalles

https://technet.microsoft.com/library/security/MS16-005

 

 

Nuevo boletín de seguridad (6 de 9)

 

Identificador
del boletín

Boletín de seguridad de Microsoft MS16-006

[superior]

Título del boletín

Actualización de seguridad para Silverlight que abordan la ejecución remota de código (3126036)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Silverlight. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita un sitio Web comprometido con una aplicación Silverlight especialmente diseñada. Existe una vulnerabilidad de ejecución remota de código cuando Microsoft Silverlight decodifica cadenas utilizando un decodificador malicioso que pueda devolver configuraciones negativas que provoquen que Silverlight reemplace los encabezados de objetos peligrosos con contenidos suministrados por un atacante. En un escenario de navegación Web, un atacante que aprovechara esta vulnerabilidad podría obtener los mismos permisos que el usuario que ha iniciado sesión actualmente. Si un usuario está conectado con derechos de administrador, un atacante podría tomar el control completo del sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos del usuario. La actualización corrige las vulnerabilidades al modificar la forma en que Microsoft Silverlight valida los resultados del decodificador.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Crítica para Microsoft Silverlight 5 y Microsoft Silverlight 5 Developer Runtime cuando se instala en Mac o todas versiones compatibles de Microsoft Windows.

Vectores de ataque

Para explotar esta vulnerabilidad, un atacante podría alojar un sitio Web que contiene una aplicación de Silverlight especialmente diseñada y entonces convence a un usuario que visiten el sitio Web comprometido. El atacante también podría aprovechar los sitios Web con contenidos especialmente diseñados, incluyendo los que aceptan o alojan contenidos proporcionados por el usuario o anuncios publicitarios. Por ejemplo, un atacante podría visualizar contenido Web diseñado especialmente mediante titulares de anuncios en banners u otros métodos para hacer llegar contenido Web a los sistemas afectados.

Factores atenuantes

  • Un agresor no tendría forma de obligar al usuario a visitar un sitio Web comprometido. En su lugar, un atacante tendría que convencer a los usuarios para que visiten el sitio Web, por lo general al lograr que hagan clic en un vínculo de un mensaje de correo electrónico o por Instant Messenger que lleve a los usuarios a la página Web del atacante. 
  • Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema tendrían menos riesgo que aquellos que operan con derechos administrativos

Se requiere reinicio

Esta actualización no requiere reinicio.

Boletines reemplazados por esta actualización

MS15-129

Todos los detalles

https://technet.microsoft.com/library/security/MS16-006

 

 

Nuevo boletín de seguridad (7 de 9)

 

Identificador
del boletín

Boletín de seguridad de Microsoft MS16-007

[superior]

Título del boletín

Actualización de seguridad para Microsoft Windows que abordan la ejecución remota de código (3124901)

Resumen ejecutivo

Las actualizaciones de seguridad descritas en este boletín resuelven seis vulnerabilidades en Microsoft Windows. Las vulnerabilidades más severas podrían permitir la ejecución remota de código si un atacante puede iniciar sesión en un sistema objetivo y ejecuta una aplicación especialmente diseñada. La actualización de seguridad corrige las vulnerabilidades al:

  • Corregir cómo Windows valida las entradas antes de cargar los archivos DLL,
  • Corregir cómo Microsoft DirectShow valida las entradas del usuario
  • Hacer cumplir la configuración por defecto de no permitir el inicio de sesión remoto para cuentas sin contraseñas.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Importante para todas versiones compatibles de Microsoft Windows.

Vectores de ataque

CVE-2016-0014 y CVE 2016-0020 – Vulnerabilidades por elevación de privilegios al cargar DLL

Existe dos vulnerabilidades por elevación de privilegios cuando Windows valida incorrectamente las entradas antes de cargar archivos de librerías de enlace dinámico (DLL). Un atacante que aprovechara estas vulnerabilidades podría elevar sus privilegios en un sistema objetivo. Para explotar las vulnerabilidades, un atacante tendría primero que iniciar sesión en el sistema objetivo. Después, un atacante podría ejecutar una aplicación especialmente diseñada para explotar las vulnerabilidades y asumir el control sobre un sistema afectado. La actualización corrige las vulnerabilidades al modificar la forma en Windows valida la entrada antes de cargar los archivos DLL.

 

CVE-2016-0016 y CVE 2016-0018 – Vulnerabilidades de ejecución remota de código al cargar DLL

Existen dos vulnerabilidades por ejecución remota de código cuando Windows valida incorrectamente las entradas antes de cargar archivos de librerías de enlace dinámico (DLL). Un atacante que explote con éxito esta vulnerabilidad podría tomar el control total de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos del usuario. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema tendrían menos riesgo que aquellos que operan con derechos administrativos. Para aprovechar las vulnerabilidades, un atacante primero tendría que iniciar sesión en el sistema de destino y luego ejecutar una aplicación especialmente diseñada. Las actualizaciones corrigen las vulnerabilidades al modificar la forma en Windows valida la entrada antes de cargar los archivos DLL.

 

CVE-2016-0015 – Vulnerabilidad en la ejecución remota de código por daño en salto de DirectShow

Existe una vulnerabilidad de ejecución remota de código cuando Microsoft DirectShow valida incorrectamente la entrada del usuario. Un atacante que consiguiera aprovechar esta vulnerabilidad podría causar código arbitrario para que se ejecute en el contexto del usuario actual. Si un usuario está conectado con derechos de administrador, un atacante podría tomar el control completo del sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos del usuario. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema tendrían menos riesgo que aquellos que operan con derechos administrativos. Para que un ataque tenga éxito, esta vulnerabilidad requiere que un usuario abra un archivo especialmente diseñado. En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando un enlace especialmente diseñado al usuario y al convencerlo de que lo abra. La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que DirectShow valida las entradas del usuario.

 

CVE-2016-0019 – Vulnerabilidad por el desvío de seguridad en el protocolo del escritorio remoto de Windows

Existe una vulnerabilidad de desvío de seguridad en el Protocolo del escritorio remoto (RDP) de Windows que se produce cuando los hosts de Windows 10 que ejecutan servicios de RDP fallan en impedir el inicio de sesión remoto a las cuentas que no tienen contraseñas establecidas. Un atacante que aprovechara esta vulnerabilidad podría conseguir el acceso al host remoto como otro usuario, posiblemente con privilegios elevados. Un atacante podría aprovechar esta vulnerabilidad mediante el uso de una versión anterior del cliente RDP para conectarse al host de Windows 10. Una vez conectado, el atacante podría generar una lista de cuentas de usuario en el host y tratar de iniciar sesión como esos usuarios. Si una de las cuentas de usuario no tiene configurada la contraseña, entonces se le permite al atacante iniciar sesión como ese usuario, a pesar de la configuración predeterminada del sistema que restringe el acceso a las cuentas sin contraseñas a solamente el inicio de sesión local. La actualización de seguridad corrige la vulnerabilidad al aplicar la configuración por defecto de no permitir el inicio de sesión remoto para cuentas sin contraseñas.

Factores atenuantes

CVE-2016-0016 y CVE 2016-0018 – Vulnerabilidades de ejecución remota de código al cargar DLL

  • Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema tendrían menos riesgo que aquellos que operan con derechos administrativos.

 

CVE-2016-0015 – Vulnerabilidad en la ejecución remota de código por daño en salto de DirectShow

  • Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema tendrían menos riesgo que aquellos que operan con derechos administrativos.
  • Para que un ataque tenga éxito, esta vulnerabilidad requiere que un usuario abra un archivo especialmente diseñado. En un supuesto de un ataque por correo electrónico, el usuario objetivo tendría que ser convencido para abrir un archivo recibido del atacante.

 

CVE-2016-0019 – Vulnerabilidad por el desvío de seguridad en el protocolo del escritorio remoto de Windows

  • Asegúrese de que todas las cuentas de usuario tienen una contraseña. Lo ideal es establecer una directriz que requiera una contraseña compleja. 

Se requiere reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados por esta actualización

MS12-004, MS13-011, MS13-062, MS13-101, MS14-041 y MS14-071.

Todos los detalles

https://technet.microsoft.com/library/security/MS16-007

 

 

Nuevo boletín de seguridad (8 de 9)

 

Identificador
del boletín

Boletín de seguridad de Microsoft MS16-008

[superior]

Título del boletín

Actualización de seguridad para el kernel de Windows que aborda la elevación de privilegios (3124605)

Resumen ejecutivo

Esta actualización de seguridad resuelve dos vulnerabilidades en Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante inicia sesión en un sistema afectado y ejecuta una aplicación especialmente diseñada. La actualización de seguridad trata las vulnerabilidades mediante la corrección de cómo Windows maneja ciertos escenarios que involucran la creación de un punto de montaje.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Importante para todas versiones compatibles de Microsoft Windows.

Vectores de ataque

Existen dos vulnerabilidades en Windows al validar los puntos de análisis establecidos por las aplicaciones de entorno limitado. Un atacante que consiguiera aprovechar la vulnerabilidad podría ejecutar código arbitrario en el contexto de seguridad del sistema local. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos del usuario. 

Factores atenuantes

Para explotar las vulnerabilidades, un atacante tendría primero que iniciar sesión en el sistema.

Se requiere reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados por esta actualización

MS15-111, MS15-122.

Todos los detalles

https://technet.microsoft.com/library/security/MS16-008

 

 

Nuevo boletín de seguridad (9 de 9)   Nota: El identificador de boletín MS16-009 se ha omitido intencionalmente. Esto no es un error de impresión.

 

Identificador
del boletín

Boletín de seguridad de Microsoft MS16-010

[superior]

Título del boletín

Actualización de seguridad en Microsoft Exchange Server que aborda el Spoofing o robo de identidad (3124557)

Resumen ejecutivo

Esta actualización de seguridad resuelve las vulnerabilidades reportadas en Microsoft Exchange Server. Las vulnerabilidades más graves podrían permitir la suplantación de identidad si Outlook Web Access (OWA) falla al manejar adecuadamente las peticiones Web, y desinfectar las entradas del usuario y el contenido de correo electrónico.  La actualización de seguridad corrige las vulnerabilidades al modificar la forma en que Microsoft Exchange OWA valida las peticiones Web y ayudar a asegurar que OWA desinfecta adecuadamente las entradas del usuario y el contenido de correo electrónico.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Importante para todas las ediciones con soporte de Microsoft Exchange Server 2013 y Microsoft Exchange Server 2016.

Vectores de ataque

Existen vulnerabilidades de suplantación múltiples en Microsoft Exchange Server cuando Outlook Web Access (OWA) falla al manejar adecuadamente las peticiones Web. Un atacante que aprovechara la vulnerabilidad podría llevar a cabo ataques de secuencias de comandos o de inyección de contenido, y tratar de engañar al usuario para que revelen información confidencial. Un atacante también podría redirigir al usuario a un sitio Web malicioso que podría suplantar contenido, o ser utilizado como un pivote para encadenar un ataque con otras vulnerabilidades en servicios Web. Para explotar la vulnerabilidad, un atacante podría enviar un correo electrónico especialmente diseñado que contenga un enlace malicioso a un usuario. Un atacante también podría utilizar un cliente de chat para ingeniárselas en redes sociales y un usuario haga clic en el vínculo.

Factores atenuantes

Tanto en escenarios de correo electrónico como de chat en ataques al cliente, se debe convencer al usuario (por medio de redes sociales) para hacer clic en el enlace maliciosamente. El atacante no tiene manera de obligar al usuario a interactuar con contenido malicioso.

Se requiere reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

MS15-103

Todos los detalles

https://technet.microsoft.com/library/security/MS16-010

 

Con respecto a la consistencia de la información

 

Nos esforzamos por proporcionarle información precisa en contenidos estáticos (este correo) y dinámicos (basados en la Web). Ocasionalmente se actualiza el contenido de seguridad de Microsoft colocado en la Web para reflejar la información más reciente. Si esto resulta en una inconsistencia entre la información en este documento y la información en los contenidos de seguridad basados en la Web de Microsoft, éstos últimos prevalecerán.

 

Saludos!

 

Microsoft CSS Security Team