Se han solucionado un total de 49 vulnerabilidades numeradas CVE, ninguna de las cuales ha sido explotada en estado salvaje como día cero.
Acerca de CVE-2024-30080 y CVE-2024-30103
CVE-2024-30080 es un uso posterior a una falla gratuita que afecta a Microsoft Message Queuing (MSMQ) y puede ser explotado por atacantes no autenticados enviando un paquete MSMQ malicioso especialmente diseñado a un servidor MSMQ. La explotación exitosa permitirá la ejecución remota de código (RCE).
Si bien la vulnerabilidad sólo se puede explotar en instalaciones de Windows y Windows Server con el servicio de cola de mensajes de Windows habilitado, la falta de otros requisitos de explotación (por ejemplo, autenticación previa, interacción del usuario) es en parte lo que hace que Microsoft diga que la explotación de esta falla por parte de los atacantes es «más como». Así que parchee este rápidamente o desactive el servicio vulnerable (si no es necesario).
CVE-2024-30103 , una vulnerabilidad de Microsoft Outlook que también puede provocar RCE, también debería solucionarse lo antes posible.
«Un atacante que aprovechara esta vulnerabilidad podría eludir las listas de bloqueo del registro de Outlook y permitir la creación de archivos DLL maliciosos», afirma Microsoft .
«Aunque no se indica explícitamente, los atacantes probablemente usarían los archivos DLL maliciosos para realizar algún tipo de secuestro de DLL para un mayor compromiso», señaló Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa Día Cero de Trend Micro .
“La buena noticia aquí es que el atacante necesitaría credenciales de Exchange válidas para realizar este ataque. La mala noticia es que el exploit puede ocurrir en el Panel de vista previa. Teniendo en cuenta la frecuencia con la que las credenciales acaban vendiéndose en foros clandestinos, no ignoraría esta solución”.
La vulnerabilidad fue descubierta por los investigadores de Morphisec Michael Gorelik y Shmuel Uzan, quienes señalaron que la vulnerabilidad es particularmente peligrosa para las cuentas que utilizan la función de apertura automática de correo electrónico de Microsoft Outlook, ya que la ejecución se inicia cuando se abre un correo electrónico afectado.
Planean publicar los detalles técnicos y un exploit PoC a principios de agosto, en la conferencia DEFCON 32.
Otras vulnerabilidades destacables
CVE-2024-30078 es un error RCE que afecta al controlador Wi-Fi de Windows.
“Esta vulnerabilidad permite que un atacante no autenticado ejecute código en un sistema afectado enviando al objetivo un paquete de red especialmente diseñado. Obviamente, el objetivo tendría que estar dentro del alcance de Wi-Fi del atacante y usar un adaptador de Wi-Fi, pero esa es la única restricción”, explicó Childs, y dijo que el error “probablemente atraerá mucha atención de los atacantes y equipos rojos por igual”.
Jason Kikta, CISO y vicepresidente senior de producto de Automox, dijo a Help Net Security que esta vulnerabilidad es particularmente preocupante porque permite a los atacantes obtener control sobre el sistema de los objetivos sin acceso físico.
«Dada su naturaleza, esta vulnerabilidad plantea un riesgo significativo en entornos con gran densidad de terminales, incluidos hoteles, ferias comerciales o cualquier otro lugar donde numerosos dispositivos se conecten a redes WiFi», opinó.
CVE-2024-30072 es otra vulnerabilidad RCE interesante que se puede activar al abrir un archivo malicioso de registro de seguimiento de eventos de Microsoft.
«Dado que los equipos de TI utilizan archivos de registro de seguimiento de eventos en común para depurar los sistemas de los usuarios y dados los altos privilegios que a menudo se asocian con las funciones de soporte de TI, explotar esta vulnerabilidad podría proporcionar a los atacantes un acceso sustancial a sistemas sensibles», señaló Henry Smith, ingeniero senior de AppSec en Automox.
Satnam Narang, ingeniero senior de investigación de Tenable, destacó CVE-2024-30089 , una falla de elevación de privilegios en el servicio de transmisión de Microsoft, como digna de una solución rápida.
Microsoft etiquetó esta vulnerabilidad como «Explotación más probable», señaló, y fue revelada a Microsoft por el mismo investigador de seguridad que reveló CVE-2023-36802, otra falla de elevación de privilegios del servicio de transmisión de Microsoft que se corrigió en el parche de septiembre de 2023. martes (y había sido explotado por atacantes en la naturaleza).
Fuente y redacción: helpnetsecurity.com
