En el martes de parches de agosto de 2024, Microsoft incluye actualizaciones de seguridad para 89 fallas, incluidas seis explotadas activamente y tres de día cero divulgadas públicamente. Microsoft todavía está trabajando en una actualización para el décimo Zero-Day lanzado públicamente.
Las ocho vulnerabilidades críticas son una combinación de elevación de privilegios, ejecución remota de código y divulgación de información. La cantidad de errores en cada categoría de vulnerabilidad se enumera a continuación:
- 36 Vulnerabilidades de elevación de privilegios
- 4 vulnerabilidades de omisión de funciones de seguridad
- 28 vulnerabilidades de ejecución remota de código
- 8 vulnerabilidades de divulgación de información
- 6 vulnerabilidades de denegación de servicio
- 7 vulnerabilidades de suplantación de identidad
La cantidad de errores enumerados anteriormente no incluye las fallas de Microsoft Edge que se revelaron a principios de este mes.
Para obtener más información sobre las actualizaciones no relacionadas con la seguridad, se puede revisar los artículos dedicados a la nueva actualización de Windows 11 KB5041585 y a la actualización de Windows 10 KB5041580.
Diez Zero-Days revelados
El martes de parches de este mes corrige seis vulnerabilidades de día cero explotadas activamente y otras tres divulgadas públicamente. Otro día cero divulgado públicamente sigue sin solucionarse en este momento, pero Microsoft está trabajando en una actualización.
Microsoft clasifica una falla de día cero como aquella que se divulga públicamente o se explota activamente mientras no hay una solución oficial disponible.
Las seis vulnerabilidades Zero-Day explotadas activamente en las actualizaciones de hoy son:
- CVE-2024-38178: Vulnerabilidad de corrupción de memoria del motor de secuencias de comandos. El ataque requiere que un cliente autenticado haga clic en un enlace para que un atacante no autenticado inicie la ejecución remota de código. Se debe hacer clic en el enlace en Microsoft Edge en modo Internet Explorer, lo que lo convierte en una falla difícil de explotar. Sin embargo, incluso con estos requisitos previos, el Centro Nacional de Seguridad Cibernética de Corea del Sur (NCSC) y AhnLab revelaron que la falla estaba siendo explotada en ataques.
- CVE-2024-38193: Vulnerabilidad de elevación de privilegios de WinSock permite que los ataques obtengan privilegios de SYSTEM en sistemas Windows.
- CVE-2024-38213: Vulnerabilidad de omisión de la característica de seguridad web de Windows permite a los atacantes crear archivos que eluden las alertas de seguridad de la Marca Web de Windows. Esta característica de seguridad ha sido objeto de numerosas elusiones a lo largo del año, ya que es un objetivo atractivo para los actores de amenazas que realizan campañas de phishing. "Un atacante que aprovechara esta vulnerabilidad podría eludir la experiencia del usuario de SmartScreen. Un atacante debe enviar al usuario un archivo malicioso y convencerlo de que lo abra", explica Redmond en su aviso de seguridad.
- CVE-2024-38106: Vulnerabilidad de elevación de privilegios en el kernel de Windows que otorga privilegios del SYSTEM.
- CVE-2024-38107: Vulnerabilidad de elevación de privilegios del coordinador de dependencia de energía de Windows que otorga a los atacantes privilegios de SYSTEM.
- CVE-2024-38189: Vulnerabilidad de ejecución remota de código de Microsoft Project que requiere que las funciones de seguridad estén deshabilitadas para su explotación. Los atacantes necesitarían engañar al usuario para que abra el archivo malicioso, ya sea mediante ataques de phishing o atrayendo a los usuarios a sitios web que alojan el archivo.
Las cuatro vulnerabilidades divulgadas públicamente son:
- CVE-2024-38199: Vulnerabilidad de ejecución remota de código del servicio Windows Line Printer Daemon (LPD). "Un atacante no autenticado podría enviar una tarea de impresión especialmente diseñada a un servicio vulnerable compartido de Windows Line Printer Daemon (LPD) a través de una red. La explotación exitosa podría resultar en la ejecución remota de código en el servidor", explica el aviso de Microsoft.
- CVE-2024-21302: Vulnerabilidad de elevación de privilegios en modo kernel seguro de Windows. Esta falla fue revelada por el investigador de seguridad de SafeBreach, Alon Leviev, como parte de una charla sobre ataques de degradación de Windows Downdate en Black Hat 2024. El ataque Windows Downdate elimina los parches de los sistemas Windows 10, Windows 11 y Windows Server completamente actualizados para reintroducir vulnerabilidades antiguas mediante actualizaciones especialmente diseñadas. Esta falla permite a los atacantes obtener privilegios elevados para instalar actualizaciones maliciosas.
- CVE-2024-38200: Vulnerabilidad de suplantación de identidad en Microsoft Office. Microsoft solucionó una vulnerabilidad de Microsoft Office que expone hashes NTLM como se revela en la charla Defcon "NTLM - The last ride". Los atacantes podrían aprovechar la falla engañando a alguien para que abra un archivo malicioso, lo que luego obligaría a Office a realizar una conexión saliente a un recurso compartido remoto donde los atacantes podrían robar los hashes NTLM enviados.
- CVE-2024-38202: Vulnerabilidad de elevación de privilegios en la pila de actualización de Windows. Esta falla también fue parte de la charla sobre el ataque a la degradación de Windows Downdate en Black Hat 2024. Microsoft está desarrollando una actualización de seguridad para mitigar esta amenaza, pero aún no está disponible.
Otras fallas graves
Además, se incluye una falla grave en Windows Reliable Multicast Transport Driver (RMCAST) que conlleva riesgos de ejecución remota de código (CVE-2024-38140 con CVSS 9.8); una falla grave con RCE en Windows TCP/IP (CVE-2024-38063 con CVSS de 9,8); dos problemas separados de RCE en la virtualización de red de Windows.
Encontrado por XiaoWei de Kunlun Lab y rastreado como CVE-2024-38063, este error de seguridad es causado por una debilidad de Integer Underflow, que los atacantes podrían aprovechar para desencadenar desbordamientos de búfer que pueden usarse para ejecutar código arbitrario en Windows 10, Windows 11 y Windows Server. "Considerando su daño, no revelaré más detalles en el corto plazo", tuiteó el investigador, agregando que bloquear IPv6 en el firewall local de Windows no bloqueará los exploits porque la vulnerabilidad se activa antes de que sea procesada por el firewall. Para mitigar esta falla se puede desactivar IPv6.
Dustin Childs, jefe de concienciación sobre amenazas de la iniciativa Zero Day de Trend Micro, también etiquetó el error CVE-2024-38063 como una de las vulnerabilidades más graves solucionadas por Microsoft este martes de parche, etiquetándolo como un defecto que se puede utilizar para crear gusanos (wormeable).
En los últimos cuatro años, Microsoft ha solucionado muchos otros problemas de IPv6, incluidos dos fallos de TCP/IP rastreados como CVE-2020-16898/9 (también llamado Ping of Death), que pueden explotarse en la ejecución remota de código (RCE) y para denegación de servicio (DoS) utilizando paquetes maliciosos de publicidad de enrutador ICMPv6.
Además, un error de fragmentación de IPv6 (CVE-2021-24086) dejó a todas las versiones de Windows vulnerables a ataques DoS, y una falla de DHCPv6 (CVE-2023-28231) hizo posible obtener RCE con una llamada especialmente diseñada.
También se han calificado como críticas las vulnerabilidades CVE-2024-38206 y CVE-2024-38109, que afectan a Microsoft Copilot Studio y Azure Health Bot respectivamente.
Actualizaciones recientes de otras empresas
Otros proveedores que publicaron actualizaciones o avisos en agosto de 2024 incluyen:
- La falla 0.0.0.0 Day permite que sitios web maliciosos eludan las funciones de seguridad del navegador y accedan a servicios en una red local.
- Android corrige RCE.
- CISA avisa de ataques en Cisco Smart Install (SMI)
- Cisco avisa de fallas críticas RCE en sus dispositivos Small Business SPA 300 y SPA 500 series IP phones.
- Nueva vulnerabilidad GhostWrite
- Ivanti lanza security updates para una vulnerabilidad con exploit público.
- Nuevo SinkClose flaw permite ataques al Ring -2 en CPUs AMD.
- Nueva falla en SLUBStick flaw
Fuente: BC