Los atacantes ya están explotando activamente cuatro de las 79 vulnerabilidades para las que Microsoft lanzó un parche esta semana como parte de su actualización de seguridad mensual.
Dos de los errores de día cero ofrecen a los atacantes una forma de eludir las protecciones de seguridad críticas de Windows y, por lo tanto, deberían estar en la parte superior de la lista de prioridades de reparación de cualquier organización.
Una de las fallas de día cero restantes es una falla de escalada de privilegios que permite el acceso a privilegios a nivel del sistema; el otro es un error que revirtió o reintrodujo vulnerabilidades en algunas versiones de Windows 10 para las cuales Microsoft había lanzado parches previamente.
En total, Actualización de septiembre de Microsoft La compañía evaluó 19 de estas vulnerabilidades críticas de ejecución remota de código (RCE) y escalada de privilegios en sus últimas actualizaciones, como vulnerabilidades que es más probable que los atacantes exploten porque permiten la ejecución remota de código, implican ataques de baja complejidad, no requieren interacción del usuario y existen en productos ampliamente utilizados, junto con otros factores.
Omisión de seguridad de día cero
Una de las vulnerabilidades de elusión de seguridad, rastreada como CVE-2024-38226Microsoft afecta a Publisher. Permite a un atacante con acceso autenticado a un sistema omitir las macros de Microsoft Office para bloquear archivos maliciosos y que no son de confianza. “Un atacante autenticado podría explotar la vulnerabilidad convenciendo a una víctima, mediante ingeniería social, para que descargue y abra un archivo especialmente diseñado desde un sitio web, lo que podría conducir a un ataque local en la computadora de la víctima”, dijo Microsoft. La compañía le dio a la vulnerabilidad una puntuación de gravedad CVSS moderada de 6,8 sobre 10, probablemente porque un atacante tendría que convencer a un usuario de que abriera un archivo malicioso para que el exploit funcionara.
El otro error de omisión de seguridad de día cero en la actualización de septiembre de Microsoft es CVE-2024-38217en la función Windows Mark of the Web (MoTW) diseñada para proteger a los usuarios de archivos y contenidos potencialmente dañinos descargados de la web. Esta vulnerabilidad permite a un atacante pasar archivos maliciosos a través de las defensas de MoTW y causar lo que Microsoft describe como una «pérdida limitada» de la integridad y disponibilidad de las comprobaciones de reputación de las aplicaciones y otras características de seguridad. Microsoft asignó a CVE-2024-38217 una clasificación de gravedad de 5 porque, para explotarlo, un atacante tendría que convencer a las víctimas potenciales de que visitaran un sitio controlado por el atacante y luego descargaran un archivo malicioso desde allí.
«La explotación de CVE-2024-38226 y CVE-2024-38217 puede conducir a la omisión de importantes características de seguridad que bloquean la ejecución de macros de Microsoft Office», dijo Satnam Narang, ingeniero de investigación senior de Tenable, en un comunicado de prensa. “En ambos casos, se debe convencer al objetivo de que abra un archivo especialmente diseñado desde un servidor controlado por el atacante. La diferencia es que un atacante debe estar autenticado en el sistema y tener acceso local para explotar CVE-2024-38226”, dijo.
RCE y escalada de privilegios de día cero
Los otros dos errores en la última actualización de Microsoft que los atacantes ya están explotando activamente son CVE-2024-38014 y CVE-2024-43491. CVE-2024-38014 Esta es una vulnerabilidad de elevación de privilegios en Windows Installer que los atacantes pueden utilizar para obtener privilegios a nivel del sistema. Al igual que con otras vulnerabilidades de día cero, el aviso de Microsoft no proporcionó detalles sobre la actividad de explotación dirigida al error o cuándo podría haber comenzado. A pesar de los continuos ataques dirigidos a CVE-2024-38014, Microsoft calificó la falla como moderadamente grave (7,8 sobre 10 en la escala CVSS) porque un atacante ya habría tenido que comprometer un sistema afectado para explotar la vulnerabilidad.
CVE-2024-43491, Mientras tanto, esta es una vulnerabilidad RCE de alta gravedad (puntuación CVSS 8,5) en Microsoft Windows Update. La vulnerabilidad revierte los parches que Microsoft lanzó en marzo para ciertas versiones de Windows 10. Según Microsoft, la vulnerabilidad brinda a los atacantes una forma de explotar las vulnerabilidades que Microsoft mitigó previamente en Windows 10, versión 1507, entre marzo y agosto. “Los clientes deben instalar tanto la Actualización de la pila de servicios (KB5043936) como la Actualización de seguridad (KB5043083), lanzadas el 10 de septiembre de 2024, para estar completamente protegidos contra las vulnerabilidades que este CVE revirtió”, dijo Microsoft.
Kev Breen, director senior de investigación de amenazas de Immersive Lab, recomendó que los administradores presten mucha atención a Notas oficiales de Microsoft para CVE-2024-43491. «Hay muchas reservas al respecto», dijo Breen en comentarios enviados por correo electrónico. “La versión resumida es que algunas versiones de Windows 10 con componentes opcionales habilitados han quedado en un estado vulnerable” desde marzo.
Este es el segundo mes consecutivo que Microsoft impone varias vulnerabilidades de día cero a sus administradores. Hasta agosto, la compañía había revelado seis, el total de todo el año hasta ese momento.
Otros errores de alta prioridad
Otros errores notables en la última actualización según los investigadores de seguridad incluyen CVE-2024-43461, una vulnerabilidad de suplantación de Windows; CVE-2024-38018, un RCE de Microsoft SharePoint Server; Y CVE-2024-38241 Y CVE-2024-38242Dos vulnerabilidades de elevación de privilegios en el controlador del servicio de transmisión del kernel.
CVE-2024-43461 afecta a todas las versiones compatibles de Microsoft Windows. Es similar a CVE-2024-38112un error de día cero que Microsoft solucionó en julio después de que al menos dos grupos de amenazas lo explotaran durante 18 meses. Los atacantes podrían aprovechar los exploits de CVE-2024-38112 en ataques contra el nuevo CVE-2024-43416, según Saeed Abbasi, jefe de investigación de vulnerabilidades de Qualys. «Existe una alta probabilidad de explotación porque esta vulnerabilidad permite a los atacantes falsificar contenido web legítimo, lo que lleva a acciones no autorizadas como phishing y robo de datos», dijo Abbasi en comentarios enviados por correo electrónico.
Las organizaciones deben priorizar la reparación de la vulnerabilidad RCE de Microsoft SharePoint Server (CVE-2024-38018) porque no existen mitigaciones ni soluciones para esta vulnerabilidad, dijo Tom Bowyer, director de Seguridad de TI de Automox, en comentarios enviados por correo electrónico. «El impacto potencial de esta vulnerabilidad CVE es significativo, particularmente dada la naturaleza crítica de los servidores SharePoint para las empresas que los utilizan» y la facilidad de explotación.
Ben McCarthy, ingeniero principal de ciberseguridad de Immersive Labs, identificó las vulnerabilidades en el controlador del servicio de transmisión del kernel (CVE-2024-38241 y CE-2024-38242) como importantes de abordar porque están presentes en el nivel del kernel y brindan a los atacantes una forma de evite los controles de seguridad, aumente los privilegios, ejecute código arbitrario y tome el control de todo el sistema.
En lo que va de año, Microsoft ha revelado un total de 745 vulnerabilidades en sus productos, según números mantenidos por AutomoxMicrosoft sólo ha identificado 33 como críticos.