Microsoft ha lanzado parches para solucionar un total de 143 fallos de seguridad como parte de sus actualizaciones de seguridad mensuales, dos de las cuales han sido objeto de explotación activa.
De los 143 fallos, cinco están clasificados como críticos, 136 como importantes y cuatro como de gravedad moderada. Las correcciones se suman a 33 vulnerabilidades que se han abordado en el navegador Edge basado en Chromium durante el último mes.
Las dos deficiencias de seguridad que han sido explotadas son las siguientes:
- CVE-2024-38080 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios en Windows Hyper-V
- CVE-2024-38112 (Puntuación CVSS: 7,5) – Vulnerabilidad de suplantación de la plataforma MSHTML de Windows
«Para explotar con éxito esta vulnerabilidad, el atacante debe tomar medidas adicionales antes de la explotación para preparar el entorno de destino», afirmó Microsoft sobre CVE-2024-38112. «El atacante tendría que enviar a la víctima un archivo malicioso que esta tendría que ejecutar».
El investigador de seguridad de Check Point, Haifei Li, a quien se le atribuye el descubrimiento y el informe de la falla en mayo de 2024, dijo que los actores de amenazas están aprovechando archivos de acceso directo a Internet de Windows (.URL) especialmente diseñados que, al hacer clic, redirigen a las víctimas a una URL maliciosa invocando el navegador retirado Internet Explorer (IE).
«Se utiliza un truco adicional en IE para ocultar el nombre de la extensión maliciosa .HTA», dijo Li explicado«Al abrir la URL con IE en lugar del navegador moderno y mucho más seguro Chrome/Edge en Windows, el atacante obtuvo ventajas significativas para explotar el equipo de la víctima, aunque el equipo ejecuta el moderno sistema operativo Windows 10/11».
«CVE-2024-38080 es una falla de elevación de privilegios en Windows Hyper-V», afirmó Satnam Narang, ingeniero de investigación sénior de Tenable. «Un atacante local autenticado podría aprovechar esta vulnerabilidad para elevar los privilegios al nivel de SISTEMA después de un ataque inicial de un sistema objetivo».
Si bien actualmente se desconocen los detalles exactos que rodean el abuso de CVE-2024-38080, Narang señaló que esta es la primera de las 44 fallas de Hyper-V que se explotan desde 2022.
En el momento de la publicación se han enumerado como de conocimiento público otras dos fallas de seguridad parcheadas por Microsoft. Esto incluye un ataque de canal lateral llamado Banco de búsqueda (CVE-2024-37985, puntuación CVSS: 5,9) que podría permitir a un adversario ver la memoria del montón de un proceso privilegiado que se ejecuta en sistemas basados en Arm.
La segunda vulnerabilidad divulgada públicamente en cuestión es CVE-2024-35264 (Puntuación CVSS: 8,1), un error de ejecución remota de código que afecta a .NET y Visual Studio.
«Un atacante podría aprovechar esto cerrando un flujo http/3 mientras se procesa el cuerpo de la solicitud, lo que generaría una condición de carrera», dijo Redmond en un aviso. «Esto podría provocar la ejecución remota de código».
También se resolvieron como parte de las actualizaciones del martes de parches 37 fallas de ejecución de código remoto que afectan al proveedor OLE DB de SQL Server Native Client, 20 vulnerabilidades de omisión de funciones de seguridad de arranque seguro, tres errores de escalada de privilegios de PowerShell y una vulnerabilidad de suplantación de identidad en el protocolo RADIUS (CVE-2024-3596 también conocido como BlastRADIUS).
«[The SQL Server flaws] «Esto afecta específicamente al proveedor OLE DB, por lo que no solo es necesario actualizar las instancias de SQL Server, sino que también será necesario abordar el código del cliente que ejecuta versiones vulnerables del controlador de conexión», dijo el gerente de producto principal de Rapid7, Greg Wiseman.
«Por ejemplo, un atacante podría usar tácticas de ingeniería social para engañar a un usuario autenticado para que intente conectarse a una base de datos de SQL Server configurada para devolver datos maliciosos, lo que permite la ejecución de código arbitrario en el cliente».
Para completar la larga lista de parches se encuentra: CVE-2024-38021 (Puntuación CVSS: 8,8), una falla de ejecución remota de código en Microsoft Office que, si se explota con éxito, podría permitir a un atacante obtener altos privilegios, incluidas funciones de lectura, escritura y eliminación.
Morphisec, que informó la falla a Microsoft a fines de abril de 2024, dijo que la vulnerabilidad no requiere ninguna autenticación y representa un riesgo grave debido a su naturaleza de cero clic.
«Los atacantes podrían aprovechar esta vulnerabilidad para obtener acceso no autorizado, ejecutar código arbitrario y causar daños sustanciales sin ninguna interacción del usuario», dijo Michael Gorelik dicho«La ausencia de requisitos de autenticación lo hace particularmente peligroso, ya que abre la puerta a una explotación generalizada».
Las correcciones llegan a medida que Microsoft Anunciado A finales del mes pasado, anunció que comenzará a emitir identificadores CVE para vulnerabilidades de seguridad relacionadas con la nube en el futuro, en un intento por mejorar la transparencia.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para corregir varias vulnerabilidades, entre ellas: