Los administradores de TI y los equipos de seguridad que esperaban un verano tranquilo se han sentido decepcionados después de que Microsoft parcheara seis vulnerabilidades de día cero explotadas activamente y cuatro problemas adicionales que se han hecho públicos, en su última actualización del martes de parches. También en la mira de los actores maliciosos este mes hay no menos de nueve fallas, dos de ellas problemas de terceros que provienen de Red Hat, que tienen clasificaciones de gravedad crítica. Ninguna de estas fallas críticas figura en la lista de días cero, pero al aparecer en medio de una de las actualizaciones del martes de parches más grandes hasta el momento de este año, que comprende más de 100 correcciones una vez que se tienen en cuenta los problemas de terceros, sin duda ocuparán mucho tiempo en los próximos días. «Microsoft tiene evidencia de explotación en la naturaleza … o divulgación pública de 10 de las vulnerabilidades publicadas hoy, lo que es significativamente más de lo habitual», dijo el ingeniero de software principal de Rapid7, Adam Barnett. «Al momento de escribir este artículo, las seis vulnerabilidades explotadas conocidas parcheadas hoy están listadas en [the] KEVIN CISA [database]Microsoft también está parcheando cinco vulnerabilidades críticas de ejecución remota de código (RCE) hoy. «Los observadores del martes de parches sabrán que el botín de hoy de cuatro vulnerabilidades divulgadas públicamente y seis vulnerabilidades más explotadas en la naturaleza es un lote mucho más grande de lo habitual», dijo. Barnett agregó: «Como una especie de rama de olivo para los defensores que ahora pueden estar mirando su lista de tareas pendientes con preocupación, Microsoft no ha publicado ninguna vulnerabilidad de SharePoint o Exchange este mes». Los seis días cero, para los que aún no circula ningún código de explotación público, comprenden los siguientes errores: CVE-2024-38106, una vulnerabilidad de elevación de privilegios (EoP) en Windows Kernel; CVE-2024-38107, una vulnerabilidad de EoP en Windows Power Dependency Coordinator; CVE-2024-38178, una vulnerabilidad de ejecución remota de código en Scripting Engine; CVE-2024-38189, una vulnerabilidad de RCE en Microsoft Project; CVE-2024-38193, una vulnerabilidad de EoP en Windows Ancillary Function Driver para WinSock; CVE-2024-38213, una vulnerabilidad de omisión de características de seguridad en Windows Mark-of-the-Web. La buena noticia, como observó rápidamente Chris Goettl, vicepresidente de productos de seguridad de Ivanti, es que actualizar el sistema operativo Windows y Office «eliminará la mayor parte del riesgo bastante rápido». Al ejecutar la regla sobre la lista de días cero, Goettl dijo que CVE-2024-38189 probablemente sería la más impactante, ya que permite a un atacante usar ingeniería social para ejecutar código arbitrario en el sistema de su víctima. Pero, agregó, había factores atenuantes, como políticas para bloquear la ejecución de macros en archivos de Office desde Internet y configuraciones de notificación de macros de VBA. «Si se habilitan, el ataque podría verse frustrado. En algún lugar, estas configuraciones de políticas obviamente se deshabilitaron, lo que permitió que un atacante explotara el CVE sin control. Una guía basada en riesgos sería actualizar las instalaciones de Office este mes. Si tiene un control limitado sobre las configuraciones de políticas de mitigación o tiene un BYOD abierto [bring your own device] «Si la política de vulnerabilidades no se actualiza, entonces actualizar Office podría ser más urgente para reducir su exposición», dijo. Para CVE-2024-38107, Goettl observó que, aunque el exploit requiere que un atacante gane una condición de carrera, dado que ya se ha detectado en ataques, esto no debería ser motivo para posponer su solución. Instó a los usuarios a considerar la orientación basada en riesgos y tratar esta actualización como de mayor gravedad de la que Microsoft dice que es, y agregó que lo mismo se aplica a los otros cuatro días cero enumerados. Los fallos que se han hecho públicos, pero que aún no se han visto explotados en la naturaleza, son los siguientes: Al revisar estos cuatro problemas, Scott Caveza, ingeniero de investigación de personal en Tenable, dijo que CVE-2024-38202 y CVE-2024-21302 merecían una atención especial. «Ambos [these] El investigador de SafeBreach Labs, Alon Leviev, reveló que si se encadenan, un atacante podría degradar o revertir las actualizaciones de software sin la necesidad de interacción de una víctima con privilegios elevados”, dijo Caveza. “Como resultado, los esfuerzos de remediación anteriores se borran esencialmente ya que los dispositivos de destino podrían volverse susceptibles a vulnerabilidades previamente parcheadas, lo que aumenta la superficie de ataque del dispositivo”. CVE-2024-38200 también merece mucha atención, dijo Caveza. “Un atacante podría aprovechar esta vulnerabilidad al incitar a una víctima a acceder a un archivo especialmente diseñado, probablemente a través de un correo electrónico de phishing. La explotación exitosa de la vulnerabilidad podría dar como resultado que la víctima exponga los hashes de New Technology Lan Manager (NTLM) a un atacante remoto”, explicó. “Los hashes NTLM podrían ser abusados ​​en retransmisiones NTLM o ataques de paso de hash para ampliar la presencia de un atacante en una organización. Los ataques de retransmisión NTLM han sido observados por un actor de amenazas con sede en Rusia, APT28 [Fancy Bear]que aprovecharon una vulnerabilidad similar para llevar a cabo ataques: CVE-2023-23397, una vulnerabilidad de EoP en Microsoft Outlook parcheada en marzo de 2023”.