Ayer martes de parches de mayo de 2024, Microsoft publció actualizaciones de seguridad para 61 fallas y tres Zero-Day explotados activamente o divulgados públicamente.
Este martes solo corrige una vulnerabilidad crítica de ejecución remota de código de Microsoft SharePoint Server.
La cantidad de errores en cada categoría de vulnerabilidad se enumera a continuación:
- 17 Vulnerabilidades de elevación de privilegios
- 2 vulnerabilidades de omisión de funciones de seguridad
- 27 vulnerabilidades de ejecución remota de código
- 7 vulnerabilidades de divulgación de información
- 3 vulnerabilidades de denegación de servicio
- 4 vulnerabilidades de suplantación de identidad
El recuento total de 61 fallas no incluye 2 fallas de Microsoft Edge corregidas el 2 de mayo y cuatro corregidas el 10 de mayo.
Microsoft llamó la atención urgente sobre un Zero-Day explotado activamente y reportado por múltiples equipos externos de búsqueda de amenazas.
Explotación activa
El Zero-Day, identificado como CVE-2024-30051 (Windows DWM Core Library Elevation of Privilege Vulnerability), está documentado como un desbordamiento de búfer basado en la biblioteca principal del DWM (Desktop Windows Management) que ya ha sido explotado en ataques de malware que requieren privilegios elevados del SYSTEM. El error tiene una puntuación de gravedad CVSS de 7,8/10 y una calificación de "importante" de Redmond.
Desktop Window Manager es un servicio de Windows introducido en Windows Vista que permite al sistema operativo utilizar la aceleración de hardware al representar elementos de la interfaz gráfica de usuario, como animaciones de transición 3D.
Los investigadores de seguridad de Kaspersky descubrieron la vulnerabilidad mientras investigaban otro error de escalada de privilegios de la biblioteca DWM Core de Windows rastreado como CVE-2023-36033 y también explotado como un ataque Zero-Day.
"Hay ataques que aprovechan esta vulnerabilidad, y a mediados de abril descubrimos un exploit. Lo hemos visto utilizado junto con QakBot y otro malware, y creemos que múltiples actores de amenazas tienen acceso a él", dijo Kaspersky.
QakBot (también conocido como Qbot) comenzó como un troyano bancario en 2008 y se utilizaba para robar credenciales bancarias, cookies de sitios web y tarjetas de crédito para cometer fraude financiero. Con el tiempo, QakBot evolucionó hasta convertirse en un servicio de entrega de malware, asociándose con otros grupos de amenazas para brindar acceso inicial a redes empresariales y domésticas para ataques de ransomware, espionaje o robo de datos. Si bien su infraestructura fue desmantelada en agosto de 2023 luego de una operación policial multinacional encabezada por el FBI y conocida como Operación 'Duck Hunt', el malware resurgió en campañas de phishing dirigidas a la industria hotelera en diciembre.
Microsoft también marcó CVE-2024-30040 (Windows MSHTML Platform Security Feature Bypass Vulnerability) en la categoría ya explotado, advirtiendo que los atacantes están eludiendo las funciones de seguridad en Microsoft 365 y Office. La falla, que tiene una puntuación CVSS de 8,8, permite a los atacantes ejecutar código arbitrario si un usuario está engañando para que cargue archivos maliciosos.
"Esta vulnerabilidad omite las mitigaciones OLE en Microsoft 365 y Microsoft Office que protegen a los usuarios de controles COM/OLE vulnerables. Un atacante no autenticado que explotara con éxito esta vulnerabilidad podría obtener la ejecución de código convenciendo a un usuario de que abra un documento malicioso, momento en el cual el atacante podría ejecutar código arbitrario en el contexto del usuario", dijo Microsoft.
CVE-2024-30040 es una omisión de seguridad en MSHTML, un componente que está profundamente vinculado al navegador web predeterminado en los sistemas Windows. El aviso de Microsoft sobre esta falla es bastante escaso, pero Kevin Breen de Immersive Labs dijo que esta vulnerabilidad también afecta a las aplicaciones de Office 365 y Microsoft Office.
La compañía también instó a los administradores de Windows a prestar atención a CVE-2024-30044, una vulnerabilidad de ejecución remota de código de gravedad crítica en Microsoft Sharepoint. "Un atacante autenticado con permiso del propietario del sitio puede utilizar la vulnerabilidad para inyectar código arbitrario y ejecutar este código en el contexto de SharePoint Server", advirtió el centro de respuesta de seguridad de Redmond.
Microsoft afirma que el CVE-2024-30051 también se reveló públicamente, pero no está claro dónde se hizo. Además, Microsoft dice que también se reveló públicamente una falla de denegación de servicio en Microsoft Visual Studio rastreada como CVE-2024-30046.
Actualizaciones de otras compañías
- Adobe has released security updates for After Effects, Photoshop, Commerce, InDesign, and more.
- Apple backported an RTKit zero-day to older devices and fixed a Safari WebKit zero-day flaw exploited at Pwn2Own.
- Cisco released security updates for its IP phone products.
- Citrix urged Xencenter admins to manually fix Putty flaw, which can be used to steal an admin's private SSH key.
- F5 releases security updates for two high-severity BIG-IP Next Central Manager API flaws.
- Google released an emergency update to fix the sixth zero-day of 2024.
- TinyProxy fixes a critical remote code execution flaw that was disclosed by Cisco.
- VMware fixes three zero-day bugs exploited at Pwn2Own 2024.
Fuente: BC