Microsoft ha lanzado parches para abordar 73 fallos de seguridad que abarca su línea de software como parte de sus actualizaciones del martes de parches para febrero de 2024, incluidos dos días cero que han sido objeto de explotación activa.
De las 73 vulnerabilidades, 5 están clasificadas como críticas, 65 como importantes y tres como moderadas en gravedad. Esto es además de 24 defectos que se han solucionado en el navegador Edge basado en Chromium desde el lanzamiento de las actualizaciones del martes de parches del 24 de enero.
Las dos fallas que figuran como bajo ataque activo en el momento del lanzamiento se encuentran a continuación:
- CVE-2024-21351 (Puntuación CVSS: 7,6) – Vulnerabilidad de omisión de la función de seguridad SmartScreen de Windows
- CVE-2024-21412 (Puntuación CVSS: 8,1) – Vulnerabilidad de omisión de la función de seguridad de archivos de acceso directo a Internet
«La vulnerabilidad permite a un actor malicioso inyectar código en Pantalla inteligente y potencialmente obtener ejecución de código, lo que podría conducir a cierta exposición de datos, falta de disponibilidad del sistema o ambas», dijo Microsoft sobre CVE-2024-21351.
La explotación exitosa de la falla podría permitir a un atacante eludir las protecciones de SmartScreen y ejecutar código arbitrario. Sin embargo, para que el ataque funcione, el actor de la amenaza debe enviar al usuario un archivo malicioso y convencerlo de que lo abra.
CVE-2024-21412, de manera similar, permite a un atacante no autenticado eludir los controles de seguridad mostrados enviando un archivo especialmente diseñado a un usuario objetivo.
«Sin embargo, el atacante no tendría forma de obligar a un usuario a ver el contenido controlado por el atacante». Redmond señaló. «En lugar de ello, el atacante tendría que convencerles de que actuaran haciendo clic en el enlace del archivo».
CVE-2024-21351 es el segundo error de derivación descubierto en SmartScreen después de CVE-2023-36025 (puntuación CVSS: 8,8), que fue solucionado por el gigante tecnológico en noviembre de 2023. Desde entonces, varios grupos de piratas informáticos han explotado la falla para Proliferan DarkGate, Phemedrone Stealer y Mispadu.
Trend Micro, que detalló una campaña de ataque emprendida por Water Hydra (también conocido como DarkCasino) dirigida a los comerciantes del mercado financiero mediante una sofisticada cadena de ataque de día cero que aprovecha CVE-2024-21412, describió CVE-2024-21412 como un bypass para CVE-2023. -36025, lo que permite a los actores de amenazas evadir los controles de SmartScreen.
Water Hydra, detectada por primera vez en 2021, tiene un historial de lanzar ataques contra bancos, plataformas de criptomonedas, servicios comerciales, sitios de juegos de azar y casinos para entregar un troyano llamado DarkMe utilizando exploits de día cero, incluida la falla WinRAR que salió a la luz en Agosto de 2023 (CVE-2023-38831, puntuación CVSS: 7,8).
A finales del año pasado, la empresa china de ciberseguridad NSFOCUS graduó al grupo de hackers «con motivación económica» en una amenaza persistente avanzada (APT) completamente nueva.
«En enero de 2024, Water Hydra actualizó su cadena de infección aprovechando CVE-2024-21412 para ejecutar un archivo de instalación de Microsoft (.MSI) malicioso, agilizando el proceso de infección de DarkMe», Trend Micro dicho.
Desde entonces, ambas vulnerabilidades han sido agregado a las vulnerabilidades explotadas conocidas (KEV) catálogo de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), instando a las agencias federales a aplicar las últimas actualizaciones antes del 5 de marzo de 2024.
Microsoft también corrigió cinco fallas críticas:
- CVE-2024-20684 (Puntuación CVSS: 6,5) – Vulnerabilidad de denegación de servicio de Hyper-V en Windows
- CVE-2024-21357 (Puntuación CVSS: 7,5) – Vulnerabilidad de ejecución remota de código de multidifusión general pragmática (PGM) de Windows
- CVE-2024-21380 (Puntuación CVSS: 8.0) – Vulnerabilidad de divulgación de información de Microsoft Dynamics Business Central/NAV
- CVE-2024-21410 (Puntuación CVSS: 9,8) – Vulnerabilidad de elevación de privilegios en Microsoft Exchange Server
- CVE-2024-21413 (Puntuación CVSS: 9,8) – Vulnerabilidad de ejecución remota de código en Microsoft Outlook
«CVE-2024-21410 es una vulnerabilidad de elevación de privilegios en Microsoft Exchange Server», dijo en un comunicado Satnam Narang, ingeniero senior de investigación de Tenable. «Según Microsoft, es más probable que los atacantes aprovechen este fallo».
«La explotación de esta vulnerabilidad podría dar como resultado la divulgación del hash Net-New Technology LAN Manager (NTLM) versión 2 de un usuario objetivo, que podría retransmitirse a un servidor Exchange vulnerable en un ataque de retransmisión NTLM o de paso del hash, lo que permitir que el atacante se autentique como el usuario objetivo».
La actualización de seguridad resuelve además 15 fallas de ejecución remota de código en el proveedor Microsoft WDAC OLE DB para SQL Server que un atacante podría explotar engañando a un usuario autenticado para que intente conectarse a un servidor SQL malicioso a través de OLEDB.
Completar el parche es una solución para CVE-2023-50387 (Puntuación CVSS: 7,5), un defecto de diseño de 24 años en la especificación DNSSEC del que se puede abusar para agotar los recursos de la CPU y detener los solucionadores de DNS, lo que resulta en una denegación de servicio (DoS).
La vulnerabilidad recibió el nombre en código KeyTrap del Centro Nacional de Investigación para la Ciberseguridad Aplicada (ATHENE) en Darmstadt.
«Demostraron que con un solo paquete DNS el ataque puede agotar la CPU y bloquear todas las implementaciones de DNS ampliamente utilizadas y los proveedores de DNS públicos, como Google Public DNS y Cloudflare», afirman los investigadores. dicho. «De hecho, los populares Implementación de DNS BIND 9 puede detenerse hasta por 16 horas.»
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad desde principios de mes para rectificar varias vulnerabilidades, entre ellas: