Microsoft ha dado más trabajo a los administradores de sistemas esta semana después de corregir cuatro vulnerabilidades de día cero que se están explotando activamente. La primera en la lista es CVE-2024-43491, un error de ejecución de código remoto (RCE) de CVSS 9.8 en Microsoft Windows Update que no requiere privilegios ni interacción del usuario y tiene una baja complejidad de ataque. “Esta vulnerabilidad surgió debido a una reversión de correcciones para ciertas vulnerabilidades mitigadas previamente después de la instalación de actualizaciones de seguridad de marzo a agosto de 2024”, explicó el presidente de Action1, Mike Walters. “Esta reversión se produjo inadvertidamente debido a un defecto de código en la pila de servicio activado por los números de versión de compilación”. La siguiente es CVE-2024-38014, una vulnerabilidad de elevación de privilegios (EoP) calificada como “importante” que se deriva de una gestión inadecuada de privilegios en Windows Installer. Dada la importancia de Windows Installer, esto podría afectar a miles de empresas y millones de dispositivos, dijo Walters. “La explotación exitosa otorga privilegios del sistema, lo que permite un control total sobre el sistema host, incluidas modificaciones del sistema, instalaciones de software arbitrarias y potencialmente deshabilitar las medidas de seguridad”, agregó. “Cuando se combina con otros vectores de ataque, esta vulnerabilidad de EoP puede habilitar campañas de intrusión sofisticadas y dañinas, lo que permite a los atacantes navegar potencialmente a través de las defensas y lograr el control administrativo”. Lea más sobre los días cero de Microsoft: Microsoft corrige cuatro días cero en el martes de parches de julio En tercer lugar en la lista de días cero se encuentra CVE-2024-38217, el único este mes que se ha divulgado públicamente. Aunque se reveló el mes pasado, esta vulnerabilidad de omisión de la función de seguridad Mark of the Web (MoTW) de Windows puede haber sido explotada desde 2018. Saeed Abbasi, gerente de investigación de vulnerabilidades en la Unidad de investigación de amenazas de Qualys, explicó que las omisiones de MoTW similares se han vinculado a ataques de ransomware en el pasado. “Esta vulnerabilidad permite a un atacante manipular las advertencias de seguridad que normalmente informan a los usuarios sobre los riesgos de abrir archivos de fuentes desconocidas o no confiables”, agregó. “Dada la divulgación pública del exploit y su explotación confirmada, es un vector principal para que los cibercriminales se infiltren en las redes corporativas. Las empresas deben priorizar la gestión de parches y educar a los usuarios sobre los riesgos de descargar archivos de fuentes no confiables para mitigar la explotación de tales vulnerabilidades”. El último día cero abordado en el Patch Tuesday de este mes es CVE-2024-38226, un error de omisión de la función de seguridad de Microsoft Publisher, que permite a los actores de amenazas eludir las protecciones de seguridad contra macros integradas en documentos descargados. Inusualmente, Microsoft no explicó cómo se está explotando la falla en la naturaleza. Crédito de la imagen: bluestork / Shutterstock.com