Microsoft ha abordado un total de 48 fallos de seguridad que abarca su software como parte de sus actualizaciones del martes de parches para enero de 2024.
De los 48 errores, dos están clasificados como críticos y 46 como importantes en cuanto a su gravedad. No hay evidencia de que alguno de los problemas sea de conocimiento público o esté bajo ataque activo en el momento del lanzamiento, lo que lo convierte en el segundo martes de parches consecutivo sin días cero.
Las correcciones se suman a nueve vulnerabilidades de seguridad que se han resuelto en el navegador Edge basado en Chromium desde el lanzamiento de las actualizaciones del martes de parches de diciembre de 2023. Esto también incluye una solución para un día cero (CVE-2023-7024, puntuación CVSS: 8,8) que, según Google, ha sido explotado activamente en la naturaleza.
Los fallos más críticos corregidos este mes son los siguientes:
- CVE-2024-20674 (Puntuación CVSS: 9.0) – Vulnerabilidad de omisión de la función de seguridad Kerberos de Windows
- CVE-2024-20700 (Puntuación CVSS: 7,5) – Vulnerabilidad de ejecución remota de código de Windows Hyper-V
«La función de autenticación podría omitirse ya que esta vulnerabilidad permite la suplantación», dijo Microsoft en un aviso para CVE-2024-20674.
«Un atacante autenticado podría explotar esta vulnerabilidad estableciendo un ataque de máquina en el medio (MitM) u otra técnica de suplantación de red local, y luego enviando un mensaje Kerberos malicioso a la máquina cliente víctima para simular ser el servidor de autenticación Kerberos».
Sin embargo, la compañía señaló que una explotación exitosa requiere que un atacante obtenga primero acceso a la red restringida. investigador de seguridad ldwilmore34 Se le atribuye el mérito de descubrir e informar la falla.
CVE-2024-20700, por otro lado, no requiere autenticación ni interacción del usuario para lograr la ejecución remota de código, aunque ganar una condición de carrera es un requisito previo para organizar un ataque.
«No está claro exactamente dónde debe estar ubicado el atacante (la LAN en la que reside el hipervisor o una red virtual creada y administrada por el hipervisor) o en qué contexto se produciría la ejecución remota del código», Adam Barnett, líder de software. ingeniero de Rapid7, dijo a The Hacker News.
Otros defectos notables incluyen CVE-2024-20653 (puntuación CVSS: 7,8), una falla de escalada de privilegios que afecta al controlador del sistema de archivos de registro común (CLFS), y CVE-2024-0056 (Puntuación CVSS: 8,7), una omisión de seguridad que afecta a System.Data.SqlClient y Microsoft.Data.SqlClient.
«Un atacante que explotara con éxito esta vulnerabilidad podría llevar a cabo un ataque de máquina en el medio (MitM) y podría descifrar y leer o modificar el tráfico TLS entre el cliente y el servidor», dijo Redmond.
Microsoft señaló además que está deshabilitando la capacidad de insertar archivos FBX en Word, Excel, PowerPoint y Outlook en Windows de forma predeterminada debido a una falla de seguridad (CVE-2024-20677puntuación CVSS: 7,8) que podría conducir a la ejecución remota de código.
«Los modelos 3D en documentos de Office que se insertaron previamente desde un archivo FBX continuarán funcionando como se esperaba a menos que se eligiera la opción ‘Vincular al archivo’ en el momento de la inserción», dijo Microsoft en un alerta separada. «GLB (formato de transmisión GL binario) es el formato de archivo 3D sustituto recomendado para usar en Office».
Vale la pena señalar que Microsoft tomó una medida similar al deshabilitar el formato de archivo SketchUp (SKP) en Office después El descubrimiento de ZScaler de 117 fallos de seguridad en aplicaciones de Microsoft 365.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas: