Para el martes de parches de octubre de 2024, Microsoft ha publicado correcciones para 117 vulnerabilidades de seguridad, incluidas dos bajo explotación activa: CVE-2024-43573, un error de suplantación de identidad que afecta a la plataforma MSHTML de Windows, y CVE-2024-43572, una falla de ejecución remota de código en Microsoft Management Console (MMC).
Acerca de CVE-2024-43573 y CVE-2024-43572
Hasta donde se puede deducir del aviso adjunto, CVE-2024-43573 es similar a CVE-2024-38112 , una vulnerabilidad en MSHTML , un motor de navegador para el ahora obsoleto Internet Explorer, que ha sido explotado como un día cero por el APT Void Banshee y parchado por Microsoft en julio de 2024.
Más tarde se reveló que Void Banshee utilizó una segunda falla MSHTML de Windows en esos mismos ataques.
«Microsoft no ha dicho nada sobre si se trata del mismo grupo, pero teniendo en cuenta que no hay ningún reconocimiento aquí, me hace pensar que el parche original era insuficiente», dice Dustin Childs, jefe de concienciación de amenazas en la Zero Day Initiative de Trend Micro Inc., quien aconseja probar e implementar la actualización para CVE-2024-43573 rápidamente.
Según Satnam Narang, ingeniero de investigación sénior de Tenable, CVE-2024-43573 destaca una ruta de ataque valiosa que actualmente están aprovechando los actores de amenazas. “Se requiere la interacción del usuario para explotar todas estas fallas de MSHTML, que normalmente utilizan algún tipo de ingeniería social”.
CVE-2024-43572 , la falla RCE en Microsoft Management Console, puede ser activada por un usuario que carga un archivo de complemento MMC malicioso .
«Microsoft no dice cuán extendidos son estos ataques, pero considerando la cantidad de ingeniería social necesaria para explotar este error, creo que los ataques serían limitados en este momento», señaló Childs. La implementación de la actualización de seguridad proporcionada por Microsoft evitará que se abran archivos de Microsoft Saved Console (MSC) que no sean de confianza.
“Si bien no tenemos detalles específicos sobre la explotación in-the-wild de CVE-2024-43572, este parche llegó unos meses después de que los investigadores revelaran una técnica de ataque llamada GrimResource que aprovechaba una antigua vulnerabilidad de secuencias de comandos entre sitios (XSS) combinada con un archivo MSC especialmente diseñado para obtener privilegios de ejecución de código”, dijo Narang a Help Net Security.
Otras vulnerabilidades a destacar
Microsoft también ha publicado parches para tres vulnerabilidades conocidas públicamente (pero no explotadas activamente) en curl , Windows Hyper-V y WinLogon , de las cuales la última tiene más probabilidades de ser explotada (para obtener privilegios de SISTEMA en sistemas comprometidos).
Childs también ha señalado dos vulnerabilidades que pueden activarse de forma remota mediante el envío de una solicitud especialmente diseñada o un paquete mal formado: la primera es CVE-2024-43468 , un fallo en Microsoft Configuration Manager, y la segunda CVE-2024-43582 , en Remote Desktop Protocol (RDP) Server. Ambas podrían permitir la ejecución remota de código.
CVE-2024-43488 , un RCE crítico en la extensión de Visual Studio Code para Arduino, no se solucionará porque la extensión ha quedado obsoleta.
“Microsoft recomienda que los clientes utilicen el software Arduino IDE”, afirma la empresa . Pero Will Bradle, consultor de seguridad de NetSPI, dijo a Help Net Security que, aunque la extensión vulnerable ya no está disponible en VS Code Marketplace, aún se puede instalar a través de GitHub y las instalaciones existentes siguen siendo vulnerables a RCE no autenticado.
Fuente y redacción: helpnetsecurity.com
