Microsoft Corp. lanzó hoy actualizaciones de software para abordar al menos 139 vulnerabilidades de seguridad en diferentes versiones de las ventanas y otros productos de Microsoft. Redmond dice que los atacantes ya están explotando al menos dos de las vulnerabilidades en ataques activos contra usuarios de Windows.
El primer día cero de Microsoft de este mes es CVE-2024-38080un error en el Windows Hyper-V componente que afecta ventanas 11 Y Servidor Windows 2022 La falla CVE-2024-38080 permite a un atacante aumentar los privilegios de su cuenta en una máquina con Windows. Aunque Microsoft afirma que se está aprovechando esta falla, ha proporcionado pocos detalles sobre su explotación.
El otro día cero es CVE-2024-38112lo cual es una debilidad en MSHTMLEl motor propietario de Microsoft explorador de Internet Navegador web. Kevin Breendirector senior de investigación de amenazas en Laboratorios inmersivosdijo que la explotación de CVE-2024-38112 probablemente requiera el uso de una «cadena de ataque» de exploits o modificaciones programáticas en el host de destino, similar a Microsoft: «Explotación exitosa Esta vulnerabilidad requiere que un atacante tome medidas adicionales antes de la explotación para prepararse el entorno objetivo. »
“A pesar de la falta de detalles proporcionados en el aviso inicial, esta vulnerabilidad afecta a todos los hosts de Servidor Windows 2008 R2 «Además de eso, incluidos los clientes», dijo Breen. “Debido a la explotación activa en la naturaleza, esto debería ser prioritario para la aplicación de parches. »
Satnam Narangingeniero superior de investigación en Defendiblellamó especialmente la atención sobre CVE-2024-38021una vulnerabilidad de ejecución remota de código en oficina de microsoftLos ataques a esta debilidad llevarían a la divulgación de hashes NTLM, que podrían explotarse como parte de una retransmisión NTLM o un ataque de «pasar el hash», que permite a un atacante hacerse pasar por un usuario legítimo sin tener que iniciar sesión nunca.
«Una de las campañas de ataque más exitosas de 2023 utilizó CVE-2023-23397, un error de elevación de privilegios en Microsoft Outlook que también podría filtrar hashes NTLM», dijo Narang. “Sin embargo, CVE-2024-38021 está limitado por el hecho de que el panel de vista previa no es un vector de ataque, lo que significa que la explotación no se produciría simplemente con una vista previa del archivo. »
la empresa de seguridad Morfiseca quien se le atribuye haber informado CVE-2024-38021 a Microsoft, dijo que respetuosamente no estaba de acuerdo con la calificación de gravedad «significativa» de Microsoft, diciendo que la falla de Office merecía una calificación «crítica» más grave dada la facilidad con la que los atacantes la explotan.
«Su evaluación distingue entre remitentes confiables y no confiables, señalando que si bien la vulnerabilidad no requiere clic para los remitentes confiables, requiere la interacción del usuario con un solo clic para los remitentes no confiables», dijo Morphisec. Michael Gorelik dijo en un artículo de blog sobre su descubrimiento«Esta reevaluación es esencial para reflejar el verdadero riesgo y garantizar que se asignen la atención y los recursos adecuados a la mitigación».
En el martes de parches del mes pasado, Microsoft solucionó una falla en su controlador WiFi de Windows que los atacantes podían usar para instalar malware simplemente enviando un paquete de datos especialmente diseñado a través de una red local a un host de Windows vulnerable. Jason Kikta tiene automox anunciado este mes CVE-2024-38053: una debilidad de seguridad en Red de puente de capa 2 de Windows – es otra vulnerabilidad de ping mortal de LAN que debería ser una prioridad para los usuarios de dispositivos móviles.
«Esto requiere un acceso cercano a un objetivo», dijo Kikta. “Si bien esto excluye a un actor de ransomware en Rusia, es algo que queda fuera de la mayoría de los modelos de amenazas actuales. Este tipo de exploit funciona en entornos como oficinas compartidas, hoteles, centros de convenciones y cualquier otro lugar donde computadoras desconocidas puedan usar el mismo enlace físico que usted. »
Automox también destacó tres vulnerabilidades en el Escritorio remoto de Windows, un servicio que asigna licencias de acceso de cliente (CAL) cuando un cliente se conecta a un host de escritorio remoto (CVE-2024-38077, CVE-2024-38074Y CVE-2024-38076). Los tres errores recibieron una puntuación CVSS de 9,8 (sobre 10) e indican que un paquete malicioso podría desencadenar la vulnerabilidad.
Tyler regularmente tiene Fuerte señaló que hoy marca el final de la fecha de soporte para Servidor SQL 2014una plataforma que, según Shodan, todavía tiene alrededor de 110.000 instancias de acceso público. Además, más de una cuarta parte de todas las vulnerabilidades parcheadas por Microsoft este mes se encuentran en SQL Server.
«Muchas empresas no actualizan rápidamente, pero esto puede hacer que tengan que luchar para actualizar estos entornos a versiones compatibles de MS-SQL», afirmó Reguly.
Los usuarios de Windows deben mantenerse actualizados con las actualizaciones de seguridad de Microsoft, que pueden acumularse rápidamente. Sin embargo, esto no significa que tengas que instalarlos el martes de parches. De hecho, esperar uno o tres días antes de actualizar es una respuesta sensata, dado que las actualizaciones a veces salen mal y Microsoft normalmente soluciona los problemas con sus parches en unos pocos días. También es una buena idea hacer una copia de seguridad de sus datos y/o crear una imagen de su disco de Windows antes de aplicar nuevas actualizaciones.
Para obtener un análisis más detallado de las fallas individuales reparadas por Microsoft hoy, consulte el Lista de centros de tormentas de Internet SANSPara los administradores responsables del mantenimiento de entornos Windows más grandes, suele ser útil estar atentos a Askwoody.comque indica con frecuencia cuándo las actualizaciones específicas de Microsoft crean problemas para una determinada cantidad de usuarios.
Como siempre, si tiene algún problema al aplicar cualquiera de estas actualizaciones, considere dejar un comentario al respecto; Es probable que alguien más que lea aquí haya encontrado el mismo problema e incluso tenga una solución.