Fuente: thehackernews.com – Autor: . Microsoft ha publicado actualizaciones de seguridad para el mes de abril de 2024 para corregir un récord de 149 fallas, dos de las cuales han sido explotadas activamente en la naturaleza. De los 149 defectos, tres están clasificados como críticos, 142 como importantes, tres como moderados y uno como de gravedad baja. La actualización se suma a 21 vulnerabilidades que la compañía abordó en su navegador Edge basado en Chromium luego del lanzamiento de las correcciones del martes de parches de marzo de 2024. Las dos deficiencias que han sido objeto de explotación activa se encuentran a continuación: CVE-2024-26234 (puntuación CVSS: 6,7) – Vulnerabilidad de suplantación de controlador proxy CVE-2024-29988 (puntuación CVSS: 8,8) – Vulnerabilidad de omisión de la función de seguridad SmartScreen Prompt mientras que el propio aviso de Microsoft no proporciona información sobre CVE-2024-26234, la empresa de ciberseguridad Sophos dijo que descubrió en diciembre de 2023 un ejecutable malicioso (“Catalog.exe” o “Servicio de cliente de autenticación de catálogo”) firmado por un certificado válido de Microsoft Windows Hardware Compatibility Publisher (WHCP). . El análisis de Authenticode del binario ha revelado que el editor solicitante original es Hainan YouHu Technology Co. Ltd, que también es el editor de otra herramienta llamada LaiXi Android Screen Mirroring. Este último se describe como “un software de marketing… [that] «Puede conectar cientos de teléfonos móviles y controlarlos en lotes, y automatizar tareas como seguir lotes, dar me gusta y comentar». Dentro del supuesto servicio de autenticación hay un componente llamado 3proxy que está diseñado para monitorear e interceptar el tráfico de red en un sistema infectado, actuando efectivamente como una puerta trasera. «No tenemos evidencia que sugiera que los desarrolladores de LaiXi incrustaron deliberadamente el archivo malicioso en su producto, o que un actor de amenazas realizó un ataque a la cadena de suministro para insertarlo en el proceso de compilación/construcción de la aplicación LaiXi», dijo el investigador de Sophos Andreas Klopsch. . La compañía de ciberseguridad también dijo que descubrió muchas otras variantes de la puerta trasera en estado salvaje desde el 5 de enero de 2023, lo que indica que la campaña ha estado en marcha al menos desde entonces. Desde entonces, Microsoft ha agregado los archivos relevantes a su lista de revocación. La otra falla de seguridad que supuestamente ha sido objeto de ataque activo es CVE-2024-29988, que, al igual que CVE-2024-21412 y CVE-2023-36025, permite a los atacantes eludir las protecciones de Microsoft Defender Smartscreen al abrir un archivo especialmente diseñado. «Para explotar esta característica de seguridad y evitar la vulnerabilidad, un atacante necesitaría convencer a un usuario para que inicie archivos maliciosos utilizando una aplicación de inicio que solicite que no se muestre ninguna interfaz de usuario», dijo Microsoft. «En un escenario de ataque por correo electrónico o mensajes instantáneos, el atacante podría enviar al usuario objetivo un archivo especialmente diseñado para explotar la vulnerabilidad de ejecución remota de código». La Iniciativa Día Cero reveló que hay evidencia de que la falla está siendo explotada en la naturaleza, aunque Microsoft la ha etiquetado con una evaluación de «Explotación más probable». Otra vulnerabilidad de importancia es CVE-2024-29990 (puntuación CVSS: 9,0), una falla de elevación de privilegios que afecta al contenedor confidencial del servicio Microsoft Azure Kubernetes y que podría ser explotada por atacantes no autenticados para robar credenciales. «Un atacante puede acceder al nodo AKS Kubernetes que no es de confianza y al contenedor confidencial AKS para apoderarse de invitados y contenedores confidenciales más allá de la pila de red a la que podría estar vinculado», dijo Redmond. En total, la versión se destaca por abordar hasta 68 ejecuciones remotas de código, 31 escaladas de privilegios, 26 omisiones de funciones de seguridad y seis errores de denegación de servicio (DoS). Curiosamente, 24 de los 26 fallos de omisión de seguridad están relacionados con el arranque seguro. «Si bien ninguna de estas vulnerabilidades de arranque seguro abordadas este mes fue explotada en la naturaleza, sirven como recordatorio de que las fallas en el arranque seguro persisten y podríamos ver más actividad maliciosa relacionada con el arranque seguro en el futuro», Satnam Narang, personal senior. ingeniero de investigación de Tenable, dijo en un comunicado. La divulgación se produce cuando Microsoft ha enfrentado críticas por sus prácticas de seguridad, con un informe reciente de la Junta de Revisión de Seguridad Cibernética (CSRB) de EE. UU. que denuncia a la compañía por no hacer lo suficiente para prevenir una campaña de ciberespionaje orquestada por un actor de amenazas chino rastreado como Storm. -0558 el año pasado. También sigue a la decisión de la compañía de publicar datos de la causa raíz de las fallas de seguridad utilizando el estándar industrial Common Weakness Enumeration (CWE). Sin embargo, vale la pena señalar que los cambios solo están vigentes a partir de los avisos publicados desde marzo de 2024. «La adición de evaluaciones CWE a los avisos de seguridad de Microsoft ayuda a identificar la causa raíz genérica de una vulnerabilidad», Adam Barnett, ingeniero de software líder en Rapid7, dijo en un comunicado compartido con The Hacker News. “El programa CWE ha actualizado recientemente su guía sobre cómo asignar CVE a una causa raíz de CWE. El análisis de las tendencias de CWE puede ayudar a los desarrolladores a reducir incidentes futuros a través de pruebas y flujos de trabajo mejorados del ciclo de vida del desarrollo de software (SDLC), además de ayudar a los defensores a comprender dónde dirigir los esfuerzos de defensa en profundidad y refuerzo de la implementación para obtener el mejor retorno de la inversión”. En un desarrollo relacionado, la firma de ciberseguridad Varonis detalló dos métodos que los atacantes podrían adoptar para eludir los registros de auditoría y evitar desencadenar eventos de descarga mientras extraen archivos de SharePoint. El primer enfoque aprovecha la función «Abrir en la aplicación» de SharePoint para acceder y descargar archivos, mientras que el segundo utiliza el User-Agent para Microsoft SkyDriveSync para descargar archivos o incluso sitios completos mientras clasifica erróneamente eventos como sincronizaciones de archivos en lugar de descargas. Microsoft, que tuvo conocimiento de los problemas en noviembre de 2023, aún no ha publicado una solución, aunque se han agregado a su programa de parches pendientes. Mientras tanto, se recomienda a las organizaciones que supervisen de cerca sus registros de auditoría para detectar eventos de acceso sospechosos, específicamente aquellos que involucran grandes volúmenes de descargas de archivos en un período corto. «Estas técnicas pueden eludir las políticas de detección y aplicación de herramientas tradicionales, como los agentes de seguridad de acceso a la nube, la prevención de pérdida de datos y SIEM, al ocultar las descargas como eventos de sincronización y acceso menos sospechosos», dijo Eric Saraga. Parches de software de otros proveedores Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para rectificar varias vulnerabilidades, entre ellas: ¿Le pareció interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos. URL de la publicación original: https://thehackernews.com/2024/04/microsoft-fixes-149-flaws-in-huge-april.html