El martes, Microsoft envió correcciones para abordar un total de 90 fallos de seguridadincluidos 10 días cero, de los cuales seis han sido objeto de explotación activa en la naturaleza.
De los 90 errores, siete están clasificados como críticos, 79 como importantes y uno está clasificado como de gravedad moderada. Esto también se suma a 36 vulnerabilidades que el gigante tecnológico resolvió en su navegador Edge desde el mes pasado.
Las actualizaciones del martes de parches se destacan por abordar seis días cero explotados activamente:
- CVE-2024-38189 (Puntuación CVSS: 8,8) – Vulnerabilidad de ejecución remota de código en Microsoft Project
- CVE-2024-38178 (Puntuación CVSS: 7,5) – Vulnerabilidad de corrupción de memoria en Windows Scripting Engine
- CVE-2024-38193 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios del controlador de función auxiliar de Windows para WinSock
- CVE-2024-38106 (Puntuación CVSS: 7,0) – Vulnerabilidad de elevación de privilegios en el kernel de Windows
- CVE-2024-38107 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios del Coordinador de dependencia de energía de Windows
- CVE-2024-38213 (Puntuación CVSS: 6,5) – Vulnerabilidad de omisión de funciones de seguridad de Windows Mark of the Web
CVE-2024-38213, que permite a los atacantes eludir las protecciones SmartScreen, requiere que un atacante envíe al usuario un archivo malicioso y lo convenza de abrirlo. Peter Girnus, de Trend Micro, se atribuye el descubrimiento y la notificación de la falla, y sugiere que podría ser una forma de eludir CVE-2024-21412 o CVE-2023-36025, que fueron explotadas anteriormente por los operadores del malware DarkGate.
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) a agregar las fallas en sus vulnerabilidades explotadas conocidas (KEV) catálogo, que obliga a las agencias federales a aplicar las correcciones antes del 3 de septiembre de 2024.
Cuatro de los CVE que se indican a continuación se enumeran como conocidos públicamente:
- CVE-2024-38200 (Puntuación CVSS: 7,5) – Vulnerabilidad de suplantación de Microsoft Office
- CVE-2024-38199 (Puntuación CVSS: 9,8) – Vulnerabilidad de ejecución remota de código del servicio LPD (Line Printer Daemon) de Windows
- CVE-2024-21302 (Puntuación CVSS: 6,7) – Vulnerabilidad de elevación de privilegios en el modo kernel seguro de Windows
- CVE-2024-38202 (Puntuación CVSS: 7,3) – Vulnerabilidad de elevación de privilegios en Windows Update Stack
«Un atacante podría aprovechar esta vulnerabilidad para incitar a una víctima a acceder a un archivo especialmente diseñado, probablemente a través de un correo electrónico de phishing», dijo Scott Caveza, ingeniero de investigación de Tenable, sobre CVE-2024-38200.
«La explotación exitosa de la vulnerabilidad podría dar como resultado que la víctima exponga los hashes de New Technology Lan Manager (NTLM) a un atacante remoto. Los hashes NTLM podrían ser utilizados de forma abusiva en ataques de retransmisión NTLM o de transferencia de hashes para que un atacante pueda afianzar su presencia en una organización».
La actualización también soluciona una falla de escalada de privilegios en el componente Print Spooler (CVE-2024-38198puntuación CVSS: 7,8), lo que permite a un atacante obtener privilegios de SYSTEM. «Para explotar con éxito esta vulnerabilidad, es necesario que un atacante supere una condición de carrera», afirmó Microsoft.
Dicho esto, Microsoft aún no ha lanzado actualizaciones para CVE-2024-38202 y CVE-2024-21302, que podrían usarse para realizar ataques de degradación contra la arquitectura de actualización de Windows y reemplazar las versiones actuales de los archivos del sistema operativo con versiones anteriores.
La divulgación se produce a raíz de una informe de Fortra sobre una falla de denegación de servicio (DoS) en el controlador del Sistema de archivos de registro común (CLFS) (CVE-2024-6768, puntuación CVSS: 6.8) que podría causar un bloqueo del sistema, resultando en una pantalla azul de la muerte (BSoD).
Cuando se le solicitó un comentario, un portavoz de Microsoft le dijo a The Hacker News que el problema «no cumple con los requisitos para un servicio inmediato según nuestras pautas de clasificación de gravedad y lo consideraremos para una futura actualización del producto».
«La técnica descrita requiere que el atacante ya haya obtenido capacidades de ejecución de código en la máquina de destino y no concede permisos elevados. Recomendamos a los clientes que adopten buenos hábitos informáticos en línea, incluido el tener cuidado al ejecutar programas que no sean reconocidos por el usuario», añadió el portavoz.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para corregir varias vulnerabilidades, entre ellas: