Microsoft corrigió ayer nueve vulnerabilidades de día cero en su parche del martes de agosto, incluidas seis que han sido explotadas en la red. Entre ellas se encuentra un error de omisión de la función de seguridad Mark of the Web (MotW) de Windows (CVE-2024-38213), que es similar a una omisión de SmartScreen publicada en febrero. “Un atacante que convenza a un usuario de abrir un archivo malicioso podría omitir SmartScreen, que normalmente advertiría al usuario sobre los archivos descargados de Internet, que de otro modo Windows habría etiquetado con MotW”, explicó el ingeniero de software principal de Rapid7, Adam Barnett. Las otras vulnerabilidades de día cero explotadas activamente corregidas por Microsoft son: CVE-2024-38178: una vulnerabilidad de corrupción de memoria del motor de scripts que requiere que un atacante engañe a un usuario para que haga clic en un enlace malicioso y se asegure de que está usando Edge en modo Internet Explorer CVE-2024-38193: una vulnerabilidad de elevación de privilegios (EoP) del controlador de función auxiliar de Windows para WinSock que requiere una baja complejidad de ataque y ninguna interacción del usuario, y podría otorgar privilegios del sistema a los atacantes CVE-2024-38106: una falla de EoP del kernel de Windows que requiere que un atacante gane una condición de carrera CVE-2024-38107: un error de EoP del Coordinador de dependencia de energía de Windows que no requiere interacción del usuario, privilegios bajos y tiene una baja complejidad de ataque CVE-2024-38189: una vulnerabilidad de ejecución remota de código (RCE) de Microsoft Project que requiere que las características de seguridad se deshabiliten para su explotación Microsoft también corrigió tres días cero que se han divulgado públicamente pero que no se explotan activamente: CVE-2024-38199 es un error de RCE en Windows Line Printer Daemon; CVE-2024-21302 es una falla de EoP en Windows Secure Kernel Mode; y CVE-2024-38200 es una vulnerabilidad de suplantación de Microsoft Office. Un cuarto, CVE-2024-38202, es un error de EoP de Windows Update Stack para el que Microsoft todavía está trabajando en un parche. «Los observadores del martes de parches sabrán que el botín de hoy de cuatro vulnerabilidades divulgadas públicamente y seis vulnerabilidades más explotadas en la naturaleza es un lote mucho más grande de lo habitual», advirtió Barnett. Los seis errores explotados se han agregado a la base de datos de vulnerabilidades explotadas conocidas (KEV) de CISA, lo que requiere que las agencias federales de EE. UU. apliquen el parche antes del 3 de septiembre. Lea más sobre el martes de parches: Microsoft corrige cuatro días cero en el martes de parches de julio Crédito de la imagen: Andrew Sozinov / Shutterstock.com