Microsoft ha abordado cuatro fallas de seguridad que afectan sus ofertas de inteligencia artificial (IA), nube, planificación de recursos empresariales y Centro de socios, incluida una que, según afirma, ha sido explotada de forma activa.
La vulnerabilidad que ha sido etiquetada con una evaluación de «Explotación detectada» es CVE-2024-49035 (puntuación CVSS: 8,7), una falla de escalada de privilegios en partner.microsoft[.]com.
«Una vulnerabilidad de control de acceso inadecuado en partner.microsoft[.]com permite a un atacante no autenticado elevar privilegios en una red», dijo el gigante tecnológico en un aviso publicado esta semana.
Microsoft agradeció a Gautam Peri, Apoorv Wadhwa y un investigador anónimo por informar la falla, pero no reveló ningún detalle sobre cómo se está explotando en ataques del mundo real.
Las correcciones para las deficiencias se están implementando automáticamente como parte de las actualizaciones de la versión en línea de Microsoft Power Apps. Redmond también se ocupó de otras tres vulnerabilidades, dos de las cuales están clasificadas como críticas y una está clasificada como importante en cuanto a gravedad:
- CVE-2024-49038 (puntuación CVSS: 9,3): una vulnerabilidad de secuencias de comandos entre sitios (XSS) en Copilot Studio que podría permitir que un atacante no autorizado aumente los privilegios en una red.
- CVE-2024-49052 (puntuación CVSS: 8,2): una vulnerabilidad de autenticación faltante para una función crítica en Microsoft Azure PolicyWatch que podría permitir que un atacante no autorizado aumente los privilegios en una red.
- CVE-2024-49053 (puntuación CVSS: 7,6): una vulnerabilidad de suplantación de identidad en Microsoft Dynamics 365 Sales que podría permitir que un atacante autenticado engañe a un usuario para que haga clic en una URL especialmente diseñada y potencialmente redirija a la víctima a un sitio malicioso.
Si bien la mayoría de las vulnerabilidades ya se han mitigado por completo y no requieren ninguna acción del usuario, se recomienda actualizar las aplicaciones de Dynamics 365 Sales para Android e iOS a la última versión (3.24104.15) para protegerse contra CVE-2024-49053.
Fuente y redacción: thehackernews.com