Microsoft ha solucionado un par de vulnerabilidades críticas en Windows Hyper-V, una de las cuales conduce a la ejecución remota de código (RCE) si se explota, en un martes de parches notablemente ligero. Las correcciones se producen en medio de una actualización simplificada que comprende apenas 60 vulnerabilidades y exposiciones comunes (CVE), ninguna de ellas clasificada como de día cero. Aunque la escasez de actualizaciones supondrá un alivio para los equipos de seguridad, el momento de una caída tan pequeña ha sorprendido a algunos, como observó Dustin Childs de la Iniciativa de Día Cero (ZDI) de Trend Micro, cuando falta poco más de una semana para el concurso anual de piratería Pwn2Own. , uno podría haber esperado que Redmond hubiera estado impulsando más parches de lo habitual. «El martes de parches de este mes presenta una reducción en las vulnerabilidades reparadas de Microsoft, totalizando 60, una disminución con respecto a las 74 actualizaciones del mes pasado», dijo Mike Walters, presidente y cofundador del especialista en gestión de parches Action1. “Sorprendentemente, solo estamos viendo que se abordan dos vulnerabilidades críticas, menos que en febrero, lo que destaca una tendencia positiva. Notablemente ausente este mes están las vulnerabilidades de día cero o pruebas de conceptos (PoC), lo que subraya un momento de relativa calma”. La vulnerabilidad RCE, rastreada como CVE-2024-21407, tiene una puntuación base CVSS de 8,1. Para explotarlo, un atacante autenticado en una máquina virtual (VM) invitada necesita enviar solicitudes de operación de archivos especialmente diseñadas en la VM a los recursos de hardware de la VM, lo que, según Microsoft, podría conducir a RCE en el host. Sin embargo, una explotación exitosa también requerirá que el atacante tenga a su alcance información específica sobre el entorno objetivo y, según Microsoft, hay una serie de acciones adicionales que también deben tomar para debilitar el objetivo, por lo que la complejidad del ataque es Bastante alto. “A partir de este anuncio, no ha habido revelaciones públicas ni explotaciones conocidas de esta vulnerabilidad. Sin embargo, dada su gravedad crítica y sus posibles consecuencias, es crucial que los usuarios de Windows Hyper-V implementen rápidamente las actualizaciones proporcionadas para mitigar la exposición”, dijo Walters. “Esta vulnerabilidad es aplicable a sistemas que ejecutan Windows 10 y posteriores, así como a Windows Server 2012 y posteriores que están equipados con la función Hyper-V. Se insta a los usuarios a aplicar el parche oficial de Microsoft para protegerse contra este problema. Además, se recomienda encarecidamente seguir las mejores prácticas para la seguridad de las máquinas virtuales y los servidores host, como minimizar los privilegios de los usuarios, restringir el acceso a la red y monitorear atentamente actividades inusuales”, agregó. La segunda falla crítica en Windows Hyper-V se identifica como CVE-2024-21408 y tiene una puntuación base CVSS de 5,5. Si no se controla, permite un ataque de denegación de servicio (DoS), pero la actualización de Microsoft no proporciona detalles sobre cómo se puede explotar. Algunos de los otros problemas más notables de este mes incluyen otra falla RCE en Microsoft Exchange Server, rastreada como CVE-2024-26198, que no llega a ser calificada como crítica porque requiere que se engañe al usuario para que abra un archivo especialmente diseñado. Además de aplicar parches, es posible que los defensores también deseen revisar la configuración de seguridad de su servidor de correo electrónico y recordar a los usuarios que tengan cuidado si reciben archivos no solicitados o no verificados. Por razones similares, es posible que los equipos de seguridad también deseen priorizar una vulnerabilidad RCE de SharePoint Server, rastreada como CVE-2024-21426, cuya explotación exitosa nuevamente requiere que un usuario abra un archivo malicioso. Otra vulnerabilidad de alto riesgo este mes es CVE-2024-21411, en Skype for Consumer. Este problema, una falla RCE con una puntuación base CVSS de 8,8, puede explotarse si un atacante envía un enlace o una imagen maliciosos a través de un mensaje instantáneo, y el hecho de que se pueda encontrar en un producto de consumo ampliamente utilizado es motivo de preocupación, aunque no hay divulgaciones públicas conocidas ni exploits activos. Fuera OIT Al mismo tiempo que la carga principal del martes de parches, Redmond también anunció la desactivación del soporte para las bibliotecas Outside In Technology (OIT) de Oracle en Exchange Server. Detallada en su totalidad en un aviso de seguridad, la medida presagia el reemplazo de OIT por una “solución interna de escaneo de archivos mejorada y moderna”, que se utilizará de forma predeterminada, aunque los clientes podrán volver a habilitar OIT para algunos archivos. tipos si es absolutamente necesario. “La desaprobación es un proceso de tres fases que comienza con la actualización de marzo de 2024. La primera fase deshabilita la tecnología Outside In (OIT) de Oracle para todos los tipos de archivos. La segunda fase introducirá una solución de escaneo de reemplazo. La tercera fase eliminará por completo el código OIT de Exchange Server. Los plazos de la segunda y tercera fase no se anunciaron en el aviso a partir de la fecha de publicación inicial el 12 de marzo de 2024”, dijo Chris Goettl, vicepresidente de gestión de productos de seguridad de Ivanti. Prepárese para el arranque seguro De cara al martes de parches del próximo mes, Goettl también destacó la tercera fase de implementación planificada para los cambios asociados con CVE-2023-24932, una vulnerabilidad peligrosa en la función de seguridad de arranque seguro de Windows que se rastreó por primera vez como un día cero. en mayo de 2023. “El CVE abordó una función de omisión de seguridad en el arranque seguro utilizado por el kit de arranque BlackLotus UEFI”, dijo Goettl. “Los cambios se estaban implementando en un proceso de cuatro fases y la tercera etapa debía implementarse el martes de parches del 9 de abril de 2024 o más tarde. “Esperemos que el próximo mes se implementen nuevas mitigaciones para bloquear administradores de arranque vulnerables adicionales. Esto podría significar que tiene trabajo que hacer para preparar los medios para la actualización. Para obtener más detalles, consulte KB5025885”. El enfoque de varias fases era necesario porque Secure Boot controla con mucha precisión los medios de arranque que pueden cargarse cuando se inicia el sistema operativo, por lo que si se aplica incorrectamente, la actualización podría causar grandes problemas e incluso impedir que los sistemas se inicien.

Source link