Microsoft ha lanzado actualizaciones de seguridad para solucionar un total de 118 vulnerabilidades en toda su cartera de software, dos de los cuales han sido objeto de explotación activa en la naturaleza.
De los 118 defectos, tres están clasificados como críticos, 113 como importantes y dos como de gravedad moderada. La actualización del martes de parches no incluye el 25 defectos adicionales que el gigante tecnológico abordó en su navegador Edge basado en Chromium durante el último mes.
Cinco de las vulnerabilidades figuran como conocidas públicamente en el momento de su publicación, y dos de ellas se encuentran bajo explotación activa como día cero:
- CVE-2024-43572 (Puntuación CVSS: 7,8) – Vulnerabilidad de ejecución remota de código de Microsoft Management Console (explotación detectada)
- CVE-2024-43573 (Puntuación CVSS: 6,5) – Vulnerabilidad de suplantación de identidad en la plataforma MSHTML de Windows (explotación detectada)
- CVE-2024-43583 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios de Winlogon
- CVE-2024-20659 (Puntuación CVSS: 7.1) – Vulnerabilidad de omisión de la función de seguridad Hyper-V de Windows
- CVE-2024-6197 (Puntuación CVSS: 8,8) – Vulnerabilidad de ejecución remota de código Curl de código abierto (CVE que no es de Microsoft)
Vale la pena señalar que CVE-2024-43573 es similar a CVE-2024-38112 y CVE-2024-43461, otros dos defectos de suplantación de MSHTML que fueron explotados antes de julio de 2024 por el actor de amenazas Void Banshee para entregar el malware Atlantida Stealer.
Microsoft no menciona cómo se explotan las dos vulnerabilidades en la naturaleza, ni quién, ni qué tan extendidas están. Le dio crédito a los investigadores Andrés y Shady por informar sobre CVE-2024-43572, pero no se ha dado ningún reconocimiento para CVE-2024-43573, lo que plantea la posibilidad de que pueda tratarse de un caso de omisión del parche.
“Desde el descubrimiento de CVE-2024-43572, Microsoft ahora impide que se abran en un sistema archivos MSC que no son de confianza”, dijo Satnam Narang, ingeniero senior de investigación de Tenable, en un comunicado compartido con The Hacker News.
La explotación activa de CVE-2024-43572 y CVE-2024-43573 también ha sido observada por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), que agregado a sus vulnerabilidades explotadas conocidas (KEV) catálogo, lo que requiere que las agencias federales apliquen las correcciones antes del 29 de octubre de 2024.
Entre todos los fallos revelados por Redmond el martes, el más grave se refiere a un fallo de ejecución remota en Microsoft Configuration Manager (CVE-2024-43468puntuación CVSS: 9,8) que podría permitir a actores no autenticados ejecutar comandos arbitrarios.
“Un atacante no autenticado podría explotar esta vulnerabilidad enviando solicitudes especialmente diseñadas al entorno de destino que se procesan de manera insegura, lo que permite al atacante ejecutar comandos en el servidor y/o la base de datos subyacente”, dijo.
Otros dos fallos de gravedad clasificados como críticos también se relacionan con la ejecución remota de código en la extensión Visual Studio Code para Arduino (CVE-2024-43488puntuación CVSS: 8,8) y servidor de Protocolo de escritorio remoto (RDP) (CVE-2024-43582puntuación CVSS: 8,1).
“La explotación requiere que un atacante envíe paquetes deliberadamente mal formados a un host RPC de Windows y conduce a la ejecución de código en el contexto del servicio RPC, aunque lo que esto significa en la práctica puede depender de factores que incluyen Configuración de restricción de interfaz RPC en el activo objetivo”, dijo Adam Barnett, ingeniero de software líder en Rapid7, sobre CVE-2024-43582.
“Un lado positivo: la complejidad del ataque es alta, ya que el atacante debe ganar una condición de carrera para acceder a la memoria de forma incorrecta”.
Parches de software de otros proveedores
Fuera de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas:
About the Author
