Microsoft ha lanzado parches para solucionar un total de 143 fallos de seguridad como parte de sus actualizaciones de seguridad mensuales, dos de los cuales han sido objeto de explotación activa.
De las 143 fallas, cinco se consideran críticas, 136 importantes y cuatro moderadas. Las correcciones se suman a las 33 vulnerabilidades que se han solucionado en el navegador Edge basado en Chromium durante el último mes.
Las dos deficiencias de seguridad que han sido explotadas son las siguientes:
- CVE-2024-38080 (puntuación CVSS: 7,8): vulnerabilidad de elevación de privilegios en Windows Hyper-V
- CVE-2024-38112 (puntuación CVSS: 7,5): vulnerabilidad de suplantación de la plataforma MSHTML de Windows
«Para explotar con éxito esta vulnerabilidad, el atacante debe tomar medidas adicionales antes de la explotación para preparar el entorno de destino», afirmó Microsoft sobre CVE-2024-38112. «El atacante tendría que enviar a la víctima un archivo malicioso que esta tendría que ejecutar».
El investigador de seguridad de Check Point, Haifei Li, a quien se le atribuye el descubrimiento y el informe de la falla en mayo de 2024, dijo que los actores de amenazas están aprovechando archivos de acceso directo a Internet de Windows (.URL) especialmente diseñados que, al hacer clic, redirigen a las víctimas a una URL maliciosa invocando el navegador retirado Internet Explorer (IE).
«Se utiliza un truco adicional en IE para ocultar el nombre de la extensión maliciosa .HTA», explicó Li . «Al abrir la URL con IE en lugar del navegador moderno y mucho más seguro Chrome/Edge en Windows, el atacante obtuvo ventajas significativas para explotar el equipo de la víctima, aunque el equipo ejecuta el sistema operativo moderno Windows 10/11».
«CVE-2024-38080 es una falla de elevación de privilegios en Windows Hyper-V», afirmó Satnam Narang, ingeniero de investigación sénior de Tenable. «Un atacante local autenticado podría aprovechar esta vulnerabilidad para elevar los privilegios al nivel de SISTEMA después de un ataque inicial de un sistema objetivo».
Si bien actualmente se desconocen los detalles exactos que rodean el abuso de CVE-2024-38080, Narang señaló que esta es la primera de las 44 fallas de Hyper-V que se explotan desde 2022.
En el momento de la publicación se han dado a conocer públicamente otras dos fallas de seguridad parcheadas por Microsoft. Entre ellas se incluye un ataque de canal lateral denominado FetchBench (CVE-2024-37985, puntuación CVSS: 5,9) que podría permitir a un adversario ver la memoria del montón de un proceso privilegiado que se ejecuta en sistemas basados en Arm.
La segunda vulnerabilidad divulgada públicamente en cuestión es CVE-2024-35264 (puntuación CVSS: 8,1), un error de ejecución remota de código que afecta a .NET y Visual Studio.
«Un atacante podría aprovechar esto cerrando un flujo http/3 mientras se procesa el cuerpo de la solicitud, lo que generaría una condición de carrera», dijo Redmond en un aviso. «Esto podría provocar la ejecución remota de código».
También se resolvieron como parte de las actualizaciones del martes de parches 37 fallas de ejecución de código remoto que afectan al proveedor OLE DB de SQL Server Native Client, 20 vulnerabilidades de omisión de funciones de seguridad de arranque seguro, tres errores de escalada de privilegios de PowerShell y una vulnerabilidad de suplantación de identidad en el protocolo RADIUS (CVE-2024-3596 también conocido como BlastRADIUS).
«[Las fallas de SQL Server] afectan específicamente al proveedor OLE DB, por lo que no solo es necesario actualizar las instancias de SQL Server, sino que también será necesario abordar el código del cliente que ejecuta versiones vulnerables del controlador de conexión», dijo Greg Wiseman, gerente principal de productos de Rapid7.
«Por ejemplo, un atacante podría usar tácticas de ingeniería social para engañar a un usuario autenticado para que intente conectarse a una base de datos de SQL Server configurada para devolver datos maliciosos, lo que permite la ejecución de código arbitrario en el cliente».
Para completar la larga lista de parches se encuentra CVE-2024-38021 (puntuación CVSS: 8,8), una falla de ejecución remota de código en Microsoft Office que, si se explota con éxito, podría permitir a un atacante obtener altos privilegios, incluidas funciones de lectura, escritura y eliminación.
Morphisec, que informó la falla a Microsoft a fines de abril de 2024, dijo que la vulnerabilidad no requiere ninguna autenticación y representa un riesgo grave debido a su naturaleza de cero clic.
«Los atacantes podrían aprovechar esta vulnerabilidad para obtener acceso no autorizado, ejecutar código arbitrario y causar daños importantes sin interacción alguna del usuario», afirmó Michael Gorelik . «La ausencia de requisitos de autenticación la hace especialmente peligrosa, ya que abre la puerta a una explotación generalizada».
Las correcciones llegan luego de que Microsoft anunció a fines del mes pasado que comenzará a emitir identificadores CVE para vulnerabilidades de seguridad relacionadas con la nube en el futuro, en un intento por mejorar la transparencia.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para corregir varias vulnerabilidades, entre ellas:
Las correcciones llegan luego de que Microsoft anunció a fines del mes pasado que comenzará a emitir identificadores CVE para vulnerabilidades de seguridad relacionadas con la nube en el futuro, en un intento por mejorar la transparencia.
Parches de software de otros proveedores#
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para corregir varias vulnerabilidades, entre ellas:
- Adobe
- Servicios web de Amazon
- AMD
- Manzana
- Brazo
- Broadcom (incluido VMware)
- Cisco
- Citrix
- Código de SIS
- Enlace D
- Dell
- Drupal
- Emerson
- F5
- Fortinet
- Flujo de trabajo de Fortra FileCatalyst
- GitLab
- Android de Google
- Google Chrome
- Nube de Google
- Google Pixel
- Sistema operativo Google Wear
- Energía Hitachi
- caballos de fuerza
- HP Empresa
- IBM
- Ivanti
- Jenkins
- Redes Juniper
- Lenovo
- Distribuciones de Linux Amazon Linux , Debian , Oracle Linux , Red Hat , Rocky Linux , SUSE y Ubuntu
- MediaTek
- Mitsubishi Eléctrico
- MongoDB
- Mozilla Firefox y Firefox ESR
- NETGEAR
- NVIDIA
- OpenSSH
- Software de progreso
- QNAP
- Qualcomm
- Automatización Rockwell
- Samsung
- SAVIA
- Schneider Electric
- Siemens
- Splunk
- Marco de primavera
- TP-Link
- Veritas
- WordPress y
- Zoom
Fuente y redacción: thehackernews.com
