Microsoft ha lanzado actualizaciones de seguridad para corregir un total de 118 vulnerabilidades en su cartera de software, dos de las cuales han sido explotadas activamente en la naturaleza.
De los 118 defectos, tres están clasificados como críticos, 113 como importantes y dos como de gravedad moderada. La actualización del martes de parches no incluye las 25 fallas adicionales que el gigante tecnológico abordó en su navegador Edge basado en Chromium durante el mes pasado.
Cinco de las vulnerabilidades figuran como conocidas públicamente en el momento de su publicación, y dos de ellas se encuentran bajo explotación activa como día cero:
- CVE-2024-43572 (Puntuación CVSS: 7,8) – Vulnerabilidad de ejecución remota de código de Microsoft Management Console (explotación detectada)
- CVE-2024-43573 (Puntuación CVSS: 6,5) – Vulnerabilidad de suplantación de identidad en la plataforma MSHTML de Windows (explotación detectada)
- CVE-2024-43583 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios de Winlogon
- CVE-2024-20659 (Puntuación CVSS: 7.1) – Vulnerabilidad de omisión de la función de seguridad Hyper-V de Windows
- CVE-2024-6197 (Puntuación CVSS: 8,8) – Vulnerabilidad de ejecución remota de código Curl de código abierto (CVE que no es de Microsoft)
Vale la pena señalar que CVE-2024-43573 es similar a CVE-2024-38112 y CVE-2024-43461, otros dos defectos de suplantación de MSHTML que fueron explotados antes de julio de 2024 por el actor de amenazas Void Banshee para entregar el malware Atlantida Stealer.
Microsoft no menciona cómo se explotan las dos vulnerabilidades en la naturaleza, ni por quién, ni qué tan extendidas están. Le dio crédito a los investigadores Andrés y Shady por informar sobre CVE-2024-43572, pero no se ha dado ningún reconocimiento para CVE-2024-43573, lo que plantea la posibilidad de que pueda tratarse de un caso de omisión del parche.
“Desde el descubrimiento de CVE-2024-43572, Microsoft ahora impide que se abran en un sistema archivos MSC que no son de confianza”, dijo Satnam Narang, ingeniero senior de investigación de Tenable, en un comunicado compartido con The Hacker News.
La explotación activa de CVE-2024-43572 y CVE-2024-43573 también ha sido observada por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), que los agregó a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias federales aplicar la correcciones antes del 29 de octubre de 2024.
Entre todos los fallos revelados por Redmond el martes, el más grave se refiere a un fallo de ejecución remota en Microsoft Configuration Manager (CVE-2024-43468, puntuación CVSS: 9,8) que podría permitir a actores no autenticados ejecutar comandos arbitrarios.
“Un atacante no autenticado podría explotar esta vulnerabilidad enviando solicitudes especialmente diseñadas al entorno de destino que se procesan de manera insegura, lo que permite al atacante ejecutar comandos en el servidor y/o la base de datos subyacente”, dijo.
Otras dos fallas de gravedad con clasificación crítica también se relacionan con la ejecución remota de código en la extensión Visual Studio Code para Arduino (CVE-2024-43488, puntuación CVSS: 8,8) y el servidor de Protocolo de escritorio remoto (RDP) (CVE-2024-43582, puntuación CVSS: 8.1).
“La explotación requiere que un atacante envíe paquetes deliberadamente mal formados a un host RPC de Windows y conduce a la ejecución de código en el contexto del servicio RPC, aunque lo que esto significa en la práctica puede depender de factores que incluyen la configuración de restricción de interfaz RPC en el activo objetivo. “, dijo Adam Barnett, ingeniero de software líder de Rapid7, sobre CVE-2024-43582.
“Un lado positivo: la complejidad del ataque es alta, ya que el atacante debe ganar una condición de carrera para acceder a la memoria de forma incorrecta”.
Parches de software de otros proveedores
Fuera de Microsoft, otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas: