Si tan solo los martes de parches ocurrieran con poca frecuencia, como un eclipse solar total, algo raro, en lugar de acecharnos cada mes como El hombre en la luna. Aunque, para ser justos, sería difícil para Microsoft eclipsar la cantidad de vulnerabilidades corregidas en el lote de parches de este mes: un récord de 147 fallas en Windows y software relacionado. Sí, lo leiste bien. Microsoft lanzó hoy actualizaciones para abordar 147 agujeros de seguridad en Windows, Office, Azure, .NET Framework, Visual Studio, SQL Server, DNS Server, Windows Defender, Bitlocker y Windows Secure Boot. «Este es el lanzamiento más grande de Microsoft este año y el más grande desde al menos 2017», dijo Dustin Childs, de la Iniciativa de Día Cero (ZDI) de Trend Micro. «Hasta donde puedo decir, es el lanzamiento de martes de parches más grande de Microsoft de todos los tiempos». La gravedad media de muchos de los errores modera el gran volumen de los parches de este mes. Sólo tres de las vulnerabilidades de abril obtuvieron la calificación «crítica» más grave de Microsoft, lo que significa que pueden ser aprovechadas por malware o descontentos para tomar control remoto de sistemas sin parches sin la ayuda de los usuarios. La mayoría de las fallas que Microsoft considera «más propensas a ser explotadas» este mes están marcadas como «importantes», que generalmente involucran errores que requieren un poco más de interacción por parte del usuario (ingeniería social) pero que, sin embargo, pueden resultar en eludir la seguridad del sistema, comprometerla, y el robo de activos críticos. Ben McCarthy, ingeniero jefe de seguridad cibernética de Immersive Labs, llamó la atención sobre CVE-2024-20670, una vulnerabilidad de suplantación de Outlook para Windows descrita como fácil de explotar. Implica convencer a un usuario de que haga clic en un enlace malicioso en un correo electrónico, que luego puede robar el hash de la contraseña del usuario y autenticarse como usuario en otro servicio de Microsoft. Otro error interesante que McCarthy señaló es CVE-2024-29063, que involucra credenciales codificadas en la infraestructura de backend de búsqueda de Azure que podrían obtenerse aprovechando la búsqueda de Azure AI. «Esto, junto con muchos otros ataques de IA en las noticias recientes, muestra una nueva superficie de ataque potencial que apenas estamos aprendiendo a mitigar», dijo McCarthy. «Microsoft actualizó su backend y notificó a los clientes que se vieron afectados por la fuga de credenciales». CVE-2024-29988 es una debilidad que permite a los atacantes eludir Windows SmartScreen, una tecnología que Microsoft diseñó para brindar protecciones adicionales a los usuarios finales contra ataques de phishing y malware. Childs dijo que un investigador de ZDI encontró que esta vulnerabilidad estaba siendo explotada en la naturaleza, aunque Microsoft actualmente no incluye CVE-2024-29988 como explotada. «Trataría esto como algo natural hasta que Microsoft lo aclare», dijo Childs. “El error en sí actúa de manera muy similar a CVE-2024-21412: un [zero-day threat from February] que pasó por alto la característica Marca de la Web y permite que el malware se ejecute en un sistema de destino. Los actores de amenazas envían exploits en un archivo comprimido para evadir la detección EDR/NDR y luego utilizan este error (y otros) para eludir la Marca de la Web”. Actualización, 7:46 pm ET: una versión anterior de esta historia decía que no se solucionaron vulnerabilidades de día cero este mes. BleepingComputer informa que Microsoft ha confirmado desde entonces que en realidad hay dos días cero. Uno es el defecto que Childs acaba de mencionar (CVE-2024-21412), y el otro es CVE-2024-26234, descrito como una debilidad de “suplantación de controlador proxy”. Satnam Narang de Tenable señala que el lanzamiento de este mes incluye correcciones para dos docenas de fallas en el arranque seguro de Windows, la mayoría de las cuales se consideran «explotación menos probable» según Microsoft. “Sin embargo, la última vez que Microsoft corrigió una falla en el arranque seguro de Windows en mayo de 2023 tuvo un impacto notable, ya que fue explotada en la naturaleza y vinculada al kit de arranque BlackLotus UEFI, que se vendió en foros de la web oscura por 5.000 dólares”, dijo Narang. “BlackLotus puede eludir la funcionalidad llamada arranque seguro, que está diseñada para impedir que el malware se cargue durante el arranque. Si bien ninguna de estas vulnerabilidades de arranque seguro abordadas este mes fue explotada en la naturaleza, sirven como recordatorio de que las fallas en el arranque seguro persisten y podríamos ver más actividad maliciosa relacionada con el arranque seguro en el futuro”. Para obtener enlaces a avisos de seguridad individuales indexados por gravedad, consulte el blog de ZDI y la publicación Patch Tuesday del SANS Internet Storm Center. Considere hacer una copia de seguridad de sus datos o de su disco antes de actualizar y escriba una nota en los comentarios aquí si tiene algún problema al aplicar estas correcciones. Adobe lanzó hoy nueve parches que abordan al menos dos docenas de vulnerabilidades en una variedad de productos de software, incluidos Adobe After Effects, Photoshop, Commerce, InDesign, Experience Manager, Media Encoder, Bridge, Illustrator y Adobe Animate. KrebsOnSecurity necesita corregir el registro en un punto mencionado a finales de la publicación «Fat Patch Tuesday» de marzo, que analizaba las nuevas capacidades de IA integradas en Adobe Acrobat que están activadas de forma predeterminada. Desde entonces, Adobe ha aclarado que sus aplicaciones no utilizarán IA para escanear automáticamente sus documentos, como sugería el idioma original en sus preguntas frecuentes. «En la práctica, no se realiza ningún escaneo o análisis de documentos a menos que un usuario interactúe activamente con las funciones de IA aceptando los términos, abriendo un documento y seleccionando el Asistente de IA o los botones de resumen generativo para ese documento específico», dijo Adobe a principios de este mes.