Como parte de su actualización del martes de parches para septiembre de 2024, Microsoft reveló tres nuevas fallas de seguridad que afectan a la plataforma Windows y que han sido activamente explotadas .
La versión de seguridad mensual aborda un total de 79 vulnerabilidades, de las cuales siete están clasificadas como críticas, 71 como importantes y una con una gravedad moderada. Esto, aparte de 26 fallas que el gigante tecnológico resolvió en su navegador Edge basado en Chromium desde el lanzamiento del martes de parches el mes pasado.
Las tres vulnerabilidades que se han utilizado como arma en un contexto malicioso se enumeran a continuación, junto con un error que Microsoft considera explotado:
- CVE-2024-38014 (CVSS: 7,8): vulnerabilidad de elevación de privilegios en Windows Installer
- CVE-2024-38217 (CVSS: 5,4): vulnerabilidad de omisión de característica de seguridad de marca de la web (MotW) de Windows
- CVE-2024-38226 (CVSS: 7,3): vulnerabilidad de omisión de la característica de seguridad de Microsoft Publisher
- CVE-2024-43491 (CVSS: 9,8): vulnerabilidad de ejecución remota de código de Microsoft Windows Update
«La explotación de CVE-2024-38226 y CVE-2024-38217 puede conducir a la omisión de importantes características de seguridad que bloquean la ejecución de las macros de Microsoft Office», dijo Satnam Narang, ingeniero senior de investigación de Tenable, en un comunicado.
«En ambos casos, es necesario convencer al objetivo para que abra un archivo especialmente diseñado desde un servidor controlado por el atacante. En lo que difieren es en que el atacante necesitaría estar autenticado en el sistema y tener acceso local a él para explotar CVE-2024-38226».
Como lo reveló Elastic Security Labs el mes pasado, se dice que CVE-2024-38217, también conocido como LNK Stomping, ha sido objeto de abuso en la naturaleza ya en febrero de 2018.
CVE-2024-43491, por otro lado, destaca por el hecho de que es similar al ataque de degradación que la empresa de ciberseguridad SafeBreach detalló a principios del mes pasado. «Microsoft es consciente de una vulnerabilidad en Servicing Stack que ha revertido las correcciones de algunas vulnerabilidades que afectan a los componentes opcionales en Windows 10, versión 1507 (versión inicial lanzada en julio de 2015)», señaló Redmond.
Esto significa que un atacante podría explotar estas vulnerabilidades previamente mitigadas en los sistemas Windows 10, versión 1507 (Windows 10 Enterprise 2015 LTSB y Windows 10 IoT Enterprise 2015 LTSB) que hayan instalado la actualización de seguridad de Windows publicada el 12 de marzo de 2024: KB5035858 (OS Build 10240.20526) u otras actualizaciones publicadas hasta agosto de 2024.
El fabricante dijo además que se puede resolver instalando la actualización de la pila de servicio de septiembre de 2024 (SSU KB5043936) y la actualización de seguridad de Windows de septiembre de 2024 (KB5043083), en ese orden.
También vale la pena señalar que la evaluación de «Explotación detectada» de Microsoft para CVE-2024-43491 surge de la reversión de correcciones que abordaban vulnerabilidades que afectaban a algunos componentes opcionales para Windows 10 (versión 1507) que habían sido explotados previamente.
«No se ha detectado ninguna explotación de CVE-2024-43491», dijo la empresa. «Además, el equipo de productos Windows de Microsoft descubrió este problema y no hemos visto evidencia de que sea de conocimiento público».
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas:
- Adobe
- Arm
- Bosch
- Broadcom (incluye VMware)
- Cisco
- Citrix
- CODESYS
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Android and Pixel
- Google Chrome
- Google Cloud
- Google Wear OS
- Hitachi Energy
- HP
- HP Enterprise (incluye Aruba Networks)
- IBM
- Intel
- Ivanti
- Lenovo
- Linux distributions Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, y Ubuntu
- MediaTek
- Mitsubishi Electric
- MongoDB
- Mozilla Firefox, Firefox ESR, Focus and Thunderbird
- NVIDIA
- ownCloud
- Palo Alto Networks
- Progress Software
- QNAP
- Qualcomm
- Rockwell Automation
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- Spring Framework
- Synology
- Veeam
- Zimbra
- Zoho ManageEngine ServiceDesk Plus, SupportCenter Plus, and ServiceDesk Plus MSP
- Zoom
- Zyxel