Microsoft Corp. lanzó hoy actualizaciones de software para tapar al menos 139 agujeros de seguridad en varias versiones de Windows y otros productos de Microsoft. Redmond dice que los atacantes ya están explotando al menos dos de las vulnerabilidades en ataques activos contra usuarios de Windows. El primer día cero de Microsoft este mes es CVE-2024-38080, un error en el componente Hyper-V de Windows que afecta a los sistemas Windows 11 y Windows Server 2022. CVE-2024-38080 permite a un atacante aumentar los privilegios de su cuenta en una máquina Windows. Aunque Microsoft dice que esta falla está siendo explotada, ha ofrecido escasos detalles sobre su explotación. El otro día cero es CVE-2024-38112, que es una debilidad en MSHTML, el motor propietario del navegador web Internet Explorer de Microsoft. Kevin Breen, director sénior de investigación de amenazas en Immersive Labs, dijo que la explotación de CVE-2024-38112 probablemente requiere el uso de una «cadena de ataque» de exploits o cambios programáticos en el host de destino, como lo describe Microsoft: «La explotación exitosa de esta vulnerabilidad requiere que un atacante tome medidas adicionales antes de la explotación para preparar el entorno de destino». «A pesar de la falta de detalles proporcionados en el aviso inicial, esta vulnerabilidad afecta a todos los hosts desde Windows Server 2008 R2 en adelante, incluidos los clientes», dijo Breen. «Debido a la explotación activa en la naturaleza, se debe priorizar esta para aplicar un parche». Satnam Narang, ingeniero sénior de investigación de personal en Tenable, llamó la atención especial sobre CVE-2024-38021, una falla de ejecución de código remoto en Microsoft Office. Los ataques a esta debilidad llevarían a la divulgación de hashes NTLM, que podrían aprovecharse como parte de un ataque de retransmisión NTLM o de «pasar el hash», que permite a un atacante hacerse pasar por un usuario legítimo sin tener que iniciar sesión. «Una de las campañas de ataque más exitosas de 2023 utilizó CVE-2023-23397, un error de elevación de privilegios en Microsoft Outlook que también podría filtrar hashes NTLM», dijo Narang. «Sin embargo, CVE-2024-38021 está limitado por el hecho de que el Panel de vista previa no es un vector de ataque, lo que significa que la explotación no se produciría simplemente con una vista previa del archivo». La empresa de seguridad Morphisec, a la que se atribuye el informe de CVE-2024-38021 a Microsoft, dijo que respetuosamente no está de acuerdo con la calificación de gravedad «importante» de Microsoft, argumentando que la falla de Office merece una calificación «crítica» más grave dada la facilidad con la que los atacantes pueden explotarla. “Su evaluación diferencia entre remitentes confiables y no confiables, y señala que, si bien la vulnerabilidad es de cero clic para los remitentes confiables, requiere la interacción del usuario con un solo clic para los remitentes no confiables”, dijo Michael Gorelik de Morphisec en una publicación de blog sobre su descubrimiento. “Esta reevaluación es crucial para reflejar el riesgo real y garantizar que se asignen la atención y los recursos adecuados para la mitigación”. En el Patch Tuesday del mes pasado, Microsoft corrigió una falla en su controlador WiFi de Windows que los atacantes podían usar para instalar software malicioso simplemente enviando a un host Windows vulnerable un paquete de datos especialmente diseñado a través de una red local. Jason Kikta de Automox dijo que la CVE-2024-38053 de este mes, una debilidad de seguridad en Windows Layer Two Bridge Network, es otra vulnerabilidad de «ping de la muerte» de la red local que debería ser una prioridad para los guerreros de la carretera para parchear. «Esto requiere un acceso cercano a un objetivo», dijo Kikta. «Si bien eso excluye a un actor de ransomware en Rusia, es algo que está fuera de la mayoría de los modelos de amenaza actuales. Este tipo de exploit funciona en lugares como entornos de oficinas compartidas, hoteles, centros de convenciones y cualquier otro lugar donde computadoras desconocidas puedan estar usando el mismo enlace físico que usted”. Automox también destacó tres vulnerabilidades en Windows Remote Desktop, un servicio que asigna Licencias de Acceso de Cliente (CAL) cuando un cliente se conecta a un host de escritorio remoto (CVE-2024-38077, CVE-2024-38074 y CVE-2024-38076). A los tres errores se les ha asignado una puntuación CVSS de 9,8 (sobre 10) e indican que un paquete malicioso podría desencadenar la vulnerabilidad. Tyler Reguly de Forta señaló que hoy marca la fecha de fin de soporte para SQL Server 2014, una plataforma que según Shodan todavía tiene ~110.000 instancias disponibles públicamente. Además de eso, más de una cuarta parte de todas las vulnerabilidades que Microsoft corrigió este mes están en SQL Server. “Muchas empresas no actualizan rápidamente, pero esto puede hacer que tengan que esforzarse para actualizar esos entornos a versiones compatibles de MS-SQL”, dijo Reguly. Es una buena idea que los usuarios finales de Windows se mantengan al día con las actualizaciones de seguridad de Microsoft, que de lo contrario pueden acumularse rápidamente. Eso no significa que tenga que instalarlas el martes de parches. De hecho, esperar un día o tres antes de actualizar es una respuesta sensata, dado que a veces las actualizaciones fallan y, por lo general, en unos pocos días Microsoft ha solucionado los problemas con sus parches. También es inteligente hacer una copia de seguridad de sus datos y/o crear una imagen de su unidad de Windows antes de aplicar nuevas actualizaciones. Para obtener un desglose más detallado de los fallos individuales abordados por Microsoft hoy, consulte la lista del SANS Internet Storm Center. Para aquellos administradores responsables de mantener entornos Windows más grandes, a menudo vale la pena estar atento a Askwoody.com, que con frecuencia señala cuándo actualizaciones específicas de Microsoft están creando problemas para varios usuarios. Como siempre, si experimenta algún problema al aplicar alguna de estas actualizaciones, considere dejar una nota al respecto en los comentarios; Es muy probable que alguien más que lea aquí haya experimentado el mismo problema y tal vez incluso tenga una solución.