Microsoft Publica Parches para 90 Vulnerabilidades, incluidas 10 Vulnerabilidades Críticas de Día Cero

XPoint
Publicado el 14/08/2024

Microsoft lanzó el martes correcciones para abordar un total de 90 fallas de seguridad, incluidas 10 de día cero, de las cuales seis han sido explotadas activamente en la naturaleza.

De las 90 fallas, nueve se califican como Críticas, 80 como Importantes, y una como Moderada en severidad. Esto se suma a 36 vulnerabilidades que la empresa tecnológica resolvió en su navegador Edge desde el mes pasado.

Las actualizaciones de Patch Tuesday son notables por abordar seis vulnerabilidades de día cero explotadas activamente:

 

  • CVE-2024-38189 (puntuación CVSS: 8.8) – Vulnerabilidad de ejecución remota de código en Microsoft Project
  • CVE-2024-38178 (puntuación CVSS: 7.5) – Vulnerabilidad de corrupción de memoria en el motor de scripting de Windows
  • CVE-2024-38193 (puntuación CVSS: 7.8) – Vulnerabilidad de elevación de privilegios en el controlador de funciones auxiliares de Windows para WinSock
  • CVE-2024-38106 (puntuación CVSS: 7.0) – Vulnerabilidad de elevación de privilegios en el núcleo de Windows
  • CVE-2024-38107 (puntuación CVSS: 7.8) – Vulnerabilidad de elevación de privilegios en el coordinador de dependencia de energía de Windows
  • CVE-2024-38213 (puntuación CVSS: 6.5) – Vulnerabilidad de omisión de la característica de seguridad «Marca de la Web» en Windows

 

La vulnerabilidad CVE-2024-38213, que permite a los atacantes evadir las protecciones de SmartScreen, requiere que un atacante envíe un archivo malicioso al usuario y lo convenza de abrirlo. Trend Micro’s Peter Girnus, quien descubrió y reportó la falla, sugiere que podría ser una omisión de CVE-2024-21412 o CVE-2023-36025, que anteriormente fueron explotadas por operadores del malware DarkGate.

El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar las fallas a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que obliga a las agencias federales a aplicar las correcciones antes del 3 de septiembre de 2024.

Cuatro de las siguientes CVE se enumeran como públicamente conocidas:

 

  • CVE-2024-38200 (puntuación CVSS: 7.5) – Vulnerabilidad de suplantación en Microsoft Office
  • CVE-2024-38199 (puntuación CVSS: 9.8) – Vulnerabilidad de ejecución remota de código en el servicio de Windows Line Printer Daemon (LPD)
  • CVE-2024-21302 (puntuación CVSS: 6.7) – Vulnerabilidad de elevación de privilegios en el modo seguro del núcleo de Windows
  • CVE-2024-38202 (puntuación CVSS: 7.3) – Vulnerabilidad de elevación de privilegios en la pila de actualizaciones de Windows

 

«Un atacante podría aprovechar esta vulnerabilidad al incitar a una víctima a acceder a un archivo especialmente diseñado, probablemente a través de un correo electrónico de phishing», dijo Scott Caveza, ingeniero de investigación en Tenable, sobre la CVE-2024-38200.

«La explotación exitosa de la vulnerabilidad podría resultar en que la víctima exponga hashes del Administrador de Redes de Tecnología Nueva (NTLM) a un atacante remoto. Los hashes NTLM podrían ser utilizados en ataques de retransmisión NTLM o ‘pass-the-hash’ para avanzar en el acceso de un atacante dentro de una organización.»

La actualización también aborda una falla de escalada de privilegios en el componente de Print Spooler (CVE-2024-38198, puntuación CVSS: 7.8), que permite a un atacante obtener privilegios de SISTEMA. «La explotación exitosa de esta vulnerabilidad requiere que un atacante gane una condición de carrera», dijo Microsoft.

Dicho esto, Microsoft aún no ha lanzado actualizaciones para CVE-2024-38202 y CVE-2024-21302, que podrían ser explotadas para realizar ataques de degradación contra la arquitectura de actualización de Windows y reemplazar versiones actuales de los archivos del sistema operativo con versiones anteriores.

La divulgación sigue a un informe de Fortra sobre una falla de denegación de servicio (DoS) en el controlador del Sistema de Archivos de Registro Común (CLFS) (CVE-2024-6768, puntuación CVSS: 6.8) que podría causar un bloqueo del sistema, resultando en una Pantalla Azul de la Muerte (BSoD).

Cuando se le pidió un comentario, un portavoz de Microsoft dijo a The Hacker News que el problema «no cumple con el criterio para un servicio inmediato según nuestras directrices de clasificación de severidad, y lo consideraremos para una futura actualización de producto.»

«La técnica descrita requiere que un atacante ya haya obtenido capacidades de ejecución de código en la máquina objetivo y no otorga permisos elevados. Animamos a los clientes a practicar buenos hábitos informáticos en línea, incluido el ejercicio de precaución al ejecutar programas que no son reconocidos por el usuario», agregó el portavoz.

Parches de software de otros proveedores

Además de Microsoft, también se han lanzado actualizaciones de seguridad por parte de otros proveedores en las últimas semanas para corregir varias vulnerabilidades, incluidas:

  • Adobe
  • AMD
  • Apple
  • Arm
  • Bosch
  • Broadcom (incluyendo VMware)
  • Cisco
  • Citrix
  • D-Link
  • Dell
  • Drupal
  • F5
  • Fortinet
  • GitLab
  • Google Android
  • Google Chrome
  • Google Cloud
  • Google Wear OS
  • HMS Networks
  • HP
  • HP Enterprise (incluyendo Aruba Networks)
  • IBM
  • Intel
  • Ivanti
  • Jenkins
  • Juniper Networks
  • Lenovo
  • Distribuciones de Linux como Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, y Ubuntu
  • MediaTek
  • Mitel
  • MongoDB
  • Mozilla Firefox, Firefox ESR, y Thunderbird
  • NVIDIA
  • Progress Software
  • Qualcomm
  • Rockwell Automation
  • Samsung
  • SAP
  • Schneider Electric
  • Siemens
  • SonicWall
  • Splunk
  • Spring Framework
  • T-Head
  • Trend Micro
  • Zoom
  • Zyxel

English

Microsoft Issues Patches for 90 Flaws, Including 10 Critical Zero-Days

Microsoft on Tuesday shipped fixes to address a total of 90 security flaws, including 10 zero-days, of which six have come under active exploitation in the wild.

Of the 90 bugs, nine are rated Critical, 80 are rated Important, and one is rated Moderate in severity. This is also in addition to 36 vulnerabilities that the tech giant resolved in its Edge browser since last month.

The Patch Tuesday updates are notable for addressing six actively exploited zero-days:

 

  • CVE-2024-38189 (CVSS score: 8.8) – Microsoft Project Remote Code Execution Vulnerability
  • CVE-2024-38178 (CVSS score: 7.5) – Windows Scripting Engine Memory Corruption Vulnerability
  • CVE-2024-38193 (CVSS score: 7.8) – Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability
  • CVE-2024-38106 (CVSS score: 7.0) – Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2024-38107 (CVSS score: 7.8) – Windows Power Dependency Coordinator Elevation of Privilege Vulnerability
  • CVE-2024-38213 (CVSS score: 6.5) – Windows Mark of the Web Security Feature Bypass Vulnerability

 

CVE-2024-38213, which allows attackers to bypass SmartScreen protections, requires an attacker to send the user a malicious file and convince them to open it. Trend Micro’s Peter Girnus, who discovered and reported the flaw, suggests that it could be a bypass for CVE-2024-21412 or CVE-2023-36025, which were previously exploited by DarkGate malware operators.

The development has prompted the U.S. Cybersecurity and Infrastructure Security Agency (CISA) to add the flaws to its Known Exploited Vulnerabilities (KEV) catalog, which obligates federal agencies to apply the fixes by September 3, 2024.

Four of the following CVEs are listed as publicly known:

 

  • CVE-2024-38200 (CVSS score: 7.5) – Microsoft Office Spoofing Vulnerability
  • CVE-2024-38199 (CVSS score: 9.8) – Windows Line Printer Daemon (LPD) Service Remote Code Execution Vulnerability
  • CVE-2024-21302 (CVSS score: 6.7) – Windows Secure Kernel Mode Elevation of Privilege Vulnerability
  • CVE-2024-38202 (CVSS score: 7.3) – Windows Update Stack Elevation of Privilege Vulnerability

 

«An attacker could leverage this vulnerability by enticing a victim to access a specially crafted file, likely via a phishing email,» said Scott Caveza, staff research engineer at Tenable, about CVE-2024-38200.

«Successful exploitation of the vulnerability could result in the victim exposing New Technology Lan Manager (NTLM) hashes to a remote attacker. NTLM hashes could be abused in NTLM relay or pass-the-hash attacks to further an attacker’s foothold into an organization.»

The update also addresses a privilege escalation flaw in the Print Spooler component (CVE-2024-38198, CVSS score: 7.8), which allows an attacker to gain SYSTEM privileges. «Successful exploitation of this vulnerability requires an attacker to win a race condition,» said Microsoft.

That said, Microsoft has yet to release updates for CVE-2024-38202 and CVE-2024-21302, which could be abused to stage downgrade attacks against the Windows update architecture and replace current versions of the operating system files with older versions.

The disclosure follows a report from Fortra about a denial-of-service (DoS) flaw in the Common Log File System (CLFS) driver (CVE-2024-6768, CVSS score: 6.8) that could cause a system crash, resulting in a Blue Screen of Death (BSoD).

When reached for comment, a Microsoft spokesperson told The Hacker News that the issue «does not meet the bar for immediate servicing under our severity classification guidelines, and we will consider it for a future product update.»

«The technique described requires an attacker to have already gained code execution capabilities on the target machine and it does not grant elevated permissions. We encourage customers to practice good computing habits online, including exercising caution when running programs that are not recognized by the user,» the spokesperson added.

Software Patches from Other Vendors

In addition to Microsoft, security updates have also been released by other vendors over the past few weeks to rectify several vulnerabilities, including:

  • Adobe
  • AMD
  • Apple
  • Arm
  • Bosch
  • Broadcom (including VMware)
  • Cisco
  • Citrix
  • D-Link
  • Dell
  • Drupal
  • F5
  • Fortinet
  • GitLab
  • Google Android
  • Google Chrome
  • Google Cloud
  • Google Wear OS
  • HMS Networks
  • HP
  • HP Enterprise (including Aruba Networks)
  • IBM
  • Intel
  • Ivanti
  • Jenkins
  • Juniper Networks
  • Lenovo
  • Linux distributions such as Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, and Ubuntu
  • MediaTek
  • Mitel
  • MongoDB
  • Mozilla Firefox, Firefox ESR, and Thunderbird
  • NVIDIA
  • Progress Software
  • Qualcomm
  • Rockwell Automation
  • Samsung
  • SAP
  • Schneider Electric
  • Siemens
  • SonicWall
  • Splunk
  • Spring Framework
  • T-Head
  • Trend Micro
  • Zoom
  • Zyxe

Preguntas frecuentes

¿Qué es el Phishing?

+

Phishing es un término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que realice acciones que no debería realizar.​​

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos