• Gestión de Accesos Privilegiados
    • Ciberseguridad

    Microsoft Actualiza en Julio, Corrigiendo 143 Fallos, Incluyendo 2 en Explotación Activa

    XPoint
    Publicado el 10/07/2024
    Versión en Español

    Microsoft ha lanzado parches para abordar un total de 143 fallos de seguridad como parte de sus actualizaciones mensuales de seguridad, dos de los cuales han sido explotados activamente en el entorno salvaje.

    Cinco de los 143 fallos están clasificados como críticos, 136 como importantes y cuatro como moderados en gravedad. Las correcciones se suman a 33 vulnerabilidades que han sido abordadas en el navegador Edge basado en Chromium durante el último mes.

    Los dos fallos de seguridad que han sido explotados son los siguientes:

    • CVE-2024-38080 (puntaje CVSS: 7.8) – Vulnerabilidad de elevación de privilegios en Windows Hyper-V
    • CVE-2024-38112 (puntaje CVSS: 7.5) – Vulnerabilidad de suplantación de plataforma MSHTML de Windows

    «Para la explotación exitosa de esta vulnerabilidad se requiere que el atacante tome acciones adicionales antes de la explotación para preparar el entorno objetivo», dijo Microsoft sobre CVE-2024-38112. «El atacante tendría que enviar a la víctima un archivo malicioso que la víctima tendría que ejecutar.»

    El investigador de seguridad de Check Point, Haifei Li, quien ha sido acreditado con el descubrimiento y reporte del fallo en mayo de 2024, dijo que los actores de amenazas están utilizando archivos de acceso directo de Internet de Windows (.URL) especialmente diseñados que, al hacer clic, redirigen a las víctimas a una URL maliciosa invocando el navegador retirado Internet Explorer (IE).

    «Se usa un truco adicional en IE para ocultar el nombre de la extensión maliciosa .HTA», explicó Li. «Al abrir la URL con IE en lugar del navegador moderno y mucho más seguro Chrome/Edge en Windows, el atacante obtuvo ventajas significativas para explotar la computadora de la víctima, aunque la computadora esté ejecutando el sistema operativo moderno Windows 10/11.»

    «CVE-2024-38080 es un fallo de elevación de privilegios en Windows Hyper-V,» dijo Satnam Narang, ingeniero de investigación sénior en Tenable. «Un atacante local y autenticado podría explotar esta vulnerabilidad para elevar privilegios al nivel de SISTEMA tras un compromiso inicial de un sistema objetivo.»

    Aunque los detalles exactos sobre el abuso de CVE-2024-38080 son actualmente desconocidos, Narang señaló que este es el primero de los 44 fallos de Hyper-V en ser explotado en el entorno salvaje desde 2022.

    Otros dos fallos de seguridad parcheados por Microsoft han sido listados como públicamente conocidos al momento del lanzamiento. Esto incluye un ataque de canal lateral llamado FetchBench (CVE-2024-37985, puntaje CVSS: 5.9) que podría permitir a un adversario ver la memoria del montón de un proceso privilegiado que se ejecuta en sistemas basados en Arm.

    La segunda vulnerabilidad divulgada públicamente es CVE-2024-35264 (puntaje CVSS: 8.1), un fallo de ejecución remota de código que afecta a .NET y Visual Studio.

    «Un atacante podría explotar esto cerrando un flujo http/3 mientras se procesa el cuerpo de la solicitud, lo que lleva a una condición de carrera», dijo Redmond en un aviso. «Esto podría resultar en la ejecución remota de código.»

    También se han resuelto como parte de las actualizaciones de Patch Tuesday 37 fallos de ejecución remota de código que afectan al Proveedor OLE DB de SQL Server Native Client, 20 vulnerabilidades de omisión de la característica de seguridad Secure Boot, tres fallos de escalada de privilegios en PowerShell y una vulnerabilidad de suplantación en el protocolo RADIUS (CVE-2024-3596 también conocido como BlastRADIUS).

    «[Los fallos de SQL Server] afectan específicamente al Proveedor OLE DB, por lo que no solo es necesario actualizar las instancias de SQL Server, sino que también el código cliente que ejecuta versiones vulnerables del controlador de conexión necesitará ser abordado,» dijo Greg Wiseman, Gerente Principal de Producto en Rapid7.

    «Por ejemplo, un atacante podría usar tácticas de ingeniería social para engañar a un usuario autenticado a intentar conectar a una base de datos SQL Server configurada para devolver datos maliciosos, permitiendo la ejecución arbitraria de código en el cliente.»

    Cerrando la larga lista de parches está CVE-2024-38021 (puntaje CVSS: 8.8), un fallo de ejecución remota de código en Microsoft Office que, si se explota exitosamente, podría permitir a un atacante obtener altos privilegios, incluyendo funciones de lectura, escritura y eliminación.

    Morphisec, que informó el fallo a Microsoft a finales de abril de 2024, dijo que la vulnerabilidad no requiere ninguna autenticación y representa un riesgo severo debido a su naturaleza de cero clics.

    «Los atacantes podrían explotar esta vulnerabilidad para obtener acceso no autorizado, ejecutar código arbitrario y causar daños sustanciales sin ninguna interacción del usuario,» dijo Michael Gorelik. «La ausencia de requisitos de autenticación lo hace particularmente peligroso, ya que abre la puerta a una explotación generalizada.»

    Las correcciones llegan mientras Microsoft anunció a finales del mes pasado que comenzará a emitir identificadores CVE para vulnerabilidades relacionadas con la nube en adelante en un intento por mejorar la transparencia.

    Parches de Software de Otros Proveedores

    Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para rectificar varias vulnerabilidades, incluyendo:

    • Adobe
    • Amazon Web Services
    • AMD
    • Apple
    • Arm
    • Broadcom (incluyendo VMware)
    • Cisco
    • Citrix
    • CODESYS
    • D-Link
    • Dell
    • Drupal
    • Emerson
    • F5
    • Fortinet
    • Fortra FileCatalyst Workflow
    • GitLab
    • Google Android
    • Google Chrome
    • Google Cloud
    • Google Pixel
    • Google Wear OS
    • Hitachi Energy
    • HP
    • HP Enterprise
    • IBM
    • Ivanti
    • Jenkins
    • Juniper Networks
    • Lenovo
    • Distribuciones de Linux Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE y Ubuntu
    • MediaTek
    • Mitsubishi Electric
    • MongoDB
    • Mozilla Firefox y Firefox ESR
    • NETGEAR
    • NVIDIA
    • OpenSSH
    • Progress Software
    • QNAP
    • Qualcomm
    • Rockwell Automation
    • Samsung
    • SAP
    • Schneider Electric
    • Siemens
    • Splunk
    • Spring Framework
    • TP-Link
    • Veritas
    • WordPress
    • Zoom

    ——————————————————————-

    English Version:

    Microsoft’s July Update Patches 143 Flaws, Including Two Actively Exploited

     

    Microsoft has released patches to address a total of 143 security flaws as part of its monthly security updates, two of which have been actively exploited in the wild.

    Five out of the 143 flaws are rated Critical, 136 are rated Important, and four are rated Moderate in severity. The fixes are in addition to 33 vulnerabilities that have been addressed in the Chromium-based Edge browser over the past month.

    The two security shortcomings that have come under exploitation are:

    • CVE-2024-38080 (CVSS score: 7.8) – Windows Hyper-V Elevation of Privilege Vulnerability
    • CVE-2024-38112 (CVSS score: 7.5) – Windows MSHTML Platform Spoofing Vulnerability

    «Successful exploitation of this vulnerability requires an attacker to take additional actions prior to exploitation to prepare the target environment,» Microsoft said of CVE-2024-38112. «An attacker would have to send the victim a malicious file that the victim would have to execute.»

    Check Point security researcher Haifei Li, who has been credited with discovering and reporting the flaw in May 2024, said that threat actors are leveraging specially-crafted Windows Internet Shortcut files (.URL) that, upon clicking, redirects victims to a malicious URL by invoking the retired Internet Explorer (IE) browser.

    «An additional trick on IE is used to hide the malicious .HTA extension name,» Li explained. «By opening the URL with IE instead of the modern and much more secure Chrome/Edge browser on Windows, the attacker gained significant advantages in exploiting the victim’s computer, although the computer is running the modern Windows 10/11 operating system.»

    «CVE-2024-38080 is an elevation of privilege flaw in Windows Hyper-V,» said Satnam Narang, senior staff research engineer at Tenable. «A local, authenticated attacker could exploit this vulnerability to elevate privileges to SYSTEM level following an initial compromise of a targeted system.»

    While the exact specifics surrounding the abuse of CVE-2024-38080 are currently unknown, Narang noted that this is the first of the 44 Hyper-V flaws to come under exploitation in the wild since 2022.

    Two other security flaws patched by Microsoft have been listed as publicly known at the time of the release. This includes a side-channel attack called FetchBench (CVE-2024-37985, CVSS score: 5.9) that could enable an adversary to view heap memory from a privileged process running on Arm-based systems.

    The second publicly disclosed vulnerability in question is CVE-2024-35264 (CVSS score: 8.1), a remote code execution bug impacting .NET and Visual Studio.

    «An attacker could exploit this by closing an http/3 stream while the request body is being processed leading to a race condition,» Redmond said in an advisory. «This could result in remote code execution.»

    Also resolved as part of Patch Tuesday updates are 37 remote code execution flaws affecting the SQL Server Native Client OLE DB Provider, 20 Secure Boot security feature bypass vulnerabilities, three PowerShell privilege escalation bugs, and a spoofing vulnerability in the RADIUS protocol (CVE-2024-3596 aka BlastRADIUS).

    «[The SQL Server flaws] specifically affect the OLE DB Provider, so not only do SQL Server instances need to be updated, but client code running vulnerable versions of the connection driver will also need to be addressed,» said Rapid7’s Lead Product Manager Greg Wiseman.

    «For example, an attacker could use social engineering tactics to dupe an authenticated user into attempting to connect to a SQL Server database configured to return malicious data, allowing arbitrary code execution on the client.»

    Rounding off the long list of patches is CVE-2024-38021 (CVSS score: 8.8), a remote code execution flaw in Microsoft Office that, if successfully exploited, could permit an attacker to gain high privileges, including read, write, and delete functionality.

    Morphisec, which reported the flaw to Microsoft in late April 2024, said the vulnerability does not require any authentication and poses a severe risk due to its zero-click nature.

    «Attackers could exploit this vulnerability to gain unauthorized access, execute arbitrary code, and cause substantial damage without any user interaction,» said Michael Gorelik. «The absence of authentication requirements makes it particularly dangerous, as it opens the door to widespread exploitation.»

    The fixes come as Microsoft announced late last month that it will begin issuing CVE identifiers for cloud-related security vulnerabilities going forward in an attempt to improve transparency.

    Software Patches from Other Vendors

    In addition to Microsoft, security updates have also been released by other vendors in the past few weeks to rectify several vulnerabilities, including:

    • Adobe
    • Amazon Web Services
    • AMD
    • Apple
    • Arm
    • Broadcom (including VMware)
    • Cisco
    • Citrix
    • CODESYS
    • D-Link
    • Dell
    • Drupal
    • Emerson
    • F5
    • Fortinet
    • Fortra FileCatalyst Workflow
    • GitLab
    • Google Android
    • Google Chrome
    • Google Cloud
    • Google Pixel
    • Google Wear OS
    • Hitachi Energy
    • HP
    • HP Enterprise
    • IBM
    • Ivanti
    • Jenkins
    • Juniper Networks
    • Lenovo
    • Linux distributions Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, and Ubuntu
    • MediaTek
    • Mitsubishi Electric
    • MongoDB
    • Mozilla Firefox and Firefox ESR
    • NETGEAR
    • NVIDIA
    • OpenSSH
    • Progress Software
    • QNAP
    • Qualcomm
    • Rockwell Automation
    • Samsung
    • SAP
    • Schneider Electric
    • Siemens
    • Splunk
    • Spring Framework
    • TP-Link
    • Veritas
    • WordPress
    • Zoom

    Preguntas frecuentes

    ¿Qué es y para qué sirve un Hacking Ético?

    +

    El Ethical Hacking, también conocido como hacking ético, implica el uso de habilidades y técnicas similares a las de los hackers maliciosos, pero de manera legal y ética. Los profesionales de la ciberseguridad, conocidos como hackers éticos, utilizan estas habilidades para identificar y resolver vulnerabilidades en sistemas informáticos, redes y aplicaciones de una organización. El objetivo es mejorar la seguridad y proteger los activos digitales al encontrar y corregir fallos de seguridad antes de que sean explotados por ciberdelincuentes. Esta práctica ayuda a fortalecer las defensas cibernéticas, proteger la confidencialidad de la información y cumplir con requisitos regulatorios, además de prevenir pérdidas financieras y daños a la reputación. En resumen, el Ethical Hacking es una herramienta esencial para mitigar los riesgos de seguridad en un entorno digital cada vez más amenazante.

    ¿Qué es y para qué sirve un Pentesting?

    +

    El Pentesting, o pruebas de penetración, es una evaluación de seguridad que simula ciberataques controlados contra sistemas y redes de una organización. Realizado por profesionales de seguridad, busca identificar y explotar vulnerabilidades para evaluar la efectividad de las defensas y proporcionar recomendaciones de mejora. Ayuda a prevenir ataques, mejorar la seguridad y cumplir con requisitos normativos. En resumen, es una herramienta vital para fortalecer la seguridad informática de una organización.

    ¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

    +

    El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

    1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
    2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
    3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
    4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

    En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

    ¿Qué es el Phishing Ético?

    +

    El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

    Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

    ¿Qué es un Red Team en Ciberseguridad?

    +

    Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

    ¿Qué es la Gestión de Vulnerabilidades?

    +

    La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

    1. Identificación de Vulnerabilidades
    2. Evaluación de Riesgos
    3. Priorización
    4. Mitigación y Solución
    5. Seguimiento Continuo
    6. Comunicación y Documentación
    7. Formación y Concienciación

    La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

    ¿Tienes dudas?, contáctanos

    Últimas publicaciones

    Captura de pantalla 2025 01 30 a las 1.48.08 p.m

    Cómo el ransomware Interlock infecta a las organizaciones de salud

    30/01/2025
    Captura de pantalla 2025 01 21 a las 3.49.58 p.m

    13,000 routers MikroTik secuestrados por botnet para malspam y ciberataques

    21/01/2025
    Captura de pantalla 2025 01 15 a las 12.50.13 p.m

    El FBI elimina el malware PlugX de 4,250 computadoras hackeadas en una operación de varios meses

    15/01/2025

    Todas las Categorías