Microsoft lanzó hoy actualizaciones para corregir más de 60 agujeros de seguridad en computadoras con Windows y software compatible, incluidas dos vulnerabilidades de «día cero» en Windows que ya están siendo explotadas en ataques activos. También hay importantes parches de seguridad disponibles para usuarios de macOS y Adobe, y para el navegador web Chrome, que acaba de corregir su propia falla de día cero. Primero, los días cero. CVE-2024-30051 es un error de «elevación de privilegios» en una biblioteca central de Windows. Satnam Narang de Tenable dijo que esta falla se está utilizando como parte de una actividad posterior al compromiso para elevar los privilegios como atacante local. «CVE-2024-30051 se utiliza para obtener acceso inicial a un entorno objetivo y requiere el uso de tácticas de ingeniería social a través de correo electrónico, redes sociales o mensajería instantánea para convencer a un objetivo de que abra un archivo de documento especialmente diseñado», dijo Narang. «Una vez explotado, el atacante puede eludir las mitigaciones OLE en Microsoft 365 y Microsoft Office, que son características de seguridad diseñadas para proteger a los usuarios finales de archivos maliciosos». Kaspersky Lab, una de las dos empresas a las que se les atribuye haber informado sobre la explotación de CVE-2024-30051 a Microsoft, ha publicado un artículo fascinante sobre cómo descubrieron el exploit en un archivo compartido con Virustotal.com. Kaspersky dijo que desde entonces ha visto el exploit utilizado junto con QakBot y otro malware. QakBot (también conocido como Qbot y Pinkslipbot), que surgió en 2007 como un troyano bancario, se ha transformado en una variedad de malware avanzado que ahora utilizan múltiples grupos de ciberdelincuentes para preparar las redes recientemente comprometidas para las infestaciones de ransomware. CVE-2024-30040 es una función de omisión de seguridad en MSHTML, un componente que está profundamente vinculado al navegador web predeterminado en los sistemas Windows. El aviso de Microsoft sobre esta falla es bastante escaso, pero Kevin Breen de Immersive Labs dijo que esta vulnerabilidad también afecta a las aplicaciones de Office 365 y Microsoft Office. «Se proporciona muy poca información y la breve descripción es dolorosamente obtusa», dijo Breen sobre el aviso de Microsoft sobre CVE-2024-30040. La única vulnerabilidad reparada este mes que obtuvo la calificación de «crítica» más grave de Microsoft es CVE-2024-30044, una falla en Sharepoint que, según Microsoft, probablemente sea explotada. Narang de Tenable señala que la explotación de este error requiere que un atacante se autentique primero en un servidor SharePoint vulnerable con permisos de propietario del sitio (o superiores) y que tome medidas adicionales para explotar esta falla, lo que hace que sea menos probable que esta falla sea ampliamente explotada. ya que la mayoría de los atacantes siguen el camino de menor resistencia. Hace cinco días, Google lanzó una actualización de seguridad para Chrome que corrige un día cero en el popular navegador. Chrome generalmente descarga automáticamente las actualizaciones disponibles, pero aún así puede ser necesario reiniciar completamente el navegador para instalarlas. Si usa Chrome y ve el mensaje «Reiniciar para actualizar» en la esquina superior derecha del navegador, es hora de reiniciar. Apple acaba de enviar la actualización macOS Sonoma 14.5, que incluye casi dos docenas de parches de seguridad. Para asegurarse de que su Mac esté actualizada, vaya a Configuración del sistema, pestaña General, luego Actualización de software y siga las indicaciones. Finalmente, Adobe tiene parches de seguridad críticos disponibles para una variedad de productos, incluidos Acrobat, Reader, Illustrator, Adobe Substance 3D Painter, Adobe Aero, Adobe Animate y Adobe Framemaker. Independientemente de si utiliza un sistema Mac o Windows (u otro), siempre es una buena idea hacer una copia de seguridad de sus datos o del sistema antes de aplicar cualquier actualización de seguridad. Para ver más de cerca las correcciones individuales publicadas por Microsoft hoy, consulte la lista completa en SANS Internet Storm Center. Cualquier persona a cargo del mantenimiento de sistemas Windows en un entorno empresarial debe estar atento a Askwoody.com, que generalmente tiene información sobre los parches de Windows que no funcionan. Actualización, 15 de mayo a las 8:28 am: Se corrigió la atribución errónea de CVE-2024-30051.