Microsoft lanzó el martes correcciones para abordar un total de 90 fallas de seguridad, incluidas 10 de día cero, de las cuales seis han sido explotadas activamente en la naturaleza.
De las 90 fallas, nueve se califican como Críticas, 80 como Importantes, y una como Moderada en severidad. Esto se suma a 36 vulnerabilidades que la empresa tecnológica resolvió en su navegador Edge desde el mes pasado.
Las actualizaciones de Patch Tuesday son notables por abordar seis vulnerabilidades de día cero explotadas activamente:
La vulnerabilidad CVE-2024-38213, que permite a los atacantes evadir las protecciones de SmartScreen, requiere que un atacante envíe un archivo malicioso al usuario y lo convenza de abrirlo. Trend Micro’s Peter Girnus, quien descubrió y reportó la falla, sugiere que podría ser una omisión de CVE-2024-21412 o CVE-2023-36025, que anteriormente fueron explotadas por operadores del malware DarkGate.
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar las fallas a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que obliga a las agencias federales a aplicar las correcciones antes del 3 de septiembre de 2024.
Cuatro de las siguientes CVE se enumeran como públicamente conocidas:
«Un atacante podría aprovechar esta vulnerabilidad al incitar a una víctima a acceder a un archivo especialmente diseñado, probablemente a través de un correo electrónico de phishing», dijo Scott Caveza, ingeniero de investigación en Tenable, sobre la CVE-2024-38200.
«La explotación exitosa de la vulnerabilidad podría resultar en que la víctima exponga hashes del Administrador de Redes de Tecnología Nueva (NTLM) a un atacante remoto. Los hashes NTLM podrían ser utilizados en ataques de retransmisión NTLM o ‘pass-the-hash’ para avanzar en el acceso de un atacante dentro de una organización.»
La actualización también aborda una falla de escalada de privilegios en el componente de Print Spooler (CVE-2024-38198, puntuación CVSS: 7.8), que permite a un atacante obtener privilegios de SISTEMA. «La explotación exitosa de esta vulnerabilidad requiere que un atacante gane una condición de carrera», dijo Microsoft.
Dicho esto, Microsoft aún no ha lanzado actualizaciones para CVE-2024-38202 y CVE-2024-21302, que podrían ser explotadas para realizar ataques de degradación contra la arquitectura de actualización de Windows y reemplazar versiones actuales de los archivos del sistema operativo con versiones anteriores.
La divulgación sigue a un informe de Fortra sobre una falla de denegación de servicio (DoS) en el controlador del Sistema de Archivos de Registro Común (CLFS) (CVE-2024-6768, puntuación CVSS: 6.8) que podría causar un bloqueo del sistema, resultando en una Pantalla Azul de la Muerte (BSoD).
Cuando se le pidió un comentario, un portavoz de Microsoft dijo a The Hacker News que el problema «no cumple con el criterio para un servicio inmediato según nuestras directrices de clasificación de severidad, y lo consideraremos para una futura actualización de producto.»
«La técnica descrita requiere que un atacante ya haya obtenido capacidades de ejecución de código en la máquina objetivo y no otorga permisos elevados. Animamos a los clientes a practicar buenos hábitos informáticos en línea, incluido el ejercicio de precaución al ejecutar programas que no son reconocidos por el usuario», agregó el portavoz.
Además de Microsoft, también se han lanzado actualizaciones de seguridad por parte de otros proveedores en las últimas semanas para corregir varias vulnerabilidades, incluidas:
Phishing es un término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que realice acciones que no debería realizar.
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.