14 de agosto de 2024Ravie LakshmananSeguridad de Windows / Vulnerabilidad El martes, Microsoft envió correcciones para abordar un total de 90 fallas de seguridad, incluidas 10 vulnerabilidades de día cero, de las cuales seis han sido explotadas activamente. De los 90 errores, siete están clasificados como críticos, 79 están clasificados como importantes y uno está clasificado como moderado en gravedad. Esto también se suma a las 36 vulnerabilidades que el gigante tecnológico resolvió en su navegador Edge desde el mes pasado. Las actualizaciones del martes de parches se destacan por abordar seis vulnerabilidades de día cero explotadas activamente: CVE-2024-38189 (puntuación CVSS: 8,8) – Vulnerabilidad de ejecución de código remoto de Microsoft Project CVE-2024-38178 (puntuación CVSS: 7,5) – Vulnerabilidad de corrupción de memoria de Windows Scripting Engine CVE-2024-38193 (puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios del controlador de funciones auxiliares de Windows para WinSock CVE-2024-38106 (puntuación CVSS: 7,0) – Vulnerabilidad de elevación de privilegios del kernel de Windows CVE-2024-38107 (puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios del coordinador de dependencias de energía de Windows CVE-2024-38213 (puntuación CVSS: 6,5) – Marca de la Web de Windows La vulnerabilidad de omisión de funciones de seguridad CVE-2024-38213, que permite a los atacantes eludir las protecciones SmartScreen, requiere que un atacante envíe al usuario un archivo malicioso y lo convenza de abrirlo. A Peter Girnus de Trend Micro se le atribuye el descubrimiento y la notificación de la falla, lo que sugiere que podría ser una omisión de CVE-2024-21412 o CVE-2023-36025, que fueron explotadas anteriormente por los operadores del malware DarkGate. El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar las fallas a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), que obliga a las agencias federales a aplicar las correcciones antes del 3 de septiembre de 2024. Cuatro de los siguientes CVE están listados como conocidos públicamente: CVE-2024-38200 (puntuación CVSS: 7.5) – Vulnerabilidad de suplantación de Microsoft Office CVE-2024-38199 (puntuación CVSS: 9.8) – Vulnerabilidad de ejecución remota de código del servicio LPD (demonio de impresora de línea) de Windows CVE-2024-21302 (puntuación CVSS: 6.7) – Vulnerabilidad de elevación de privilegios del modo kernel seguro de Windows CVE-2024-38202 (puntuación CVSS: 7.3) – Vulnerabilidad de elevación de privilegios de Windows Update Stack «Un atacante podría aprovechar esta vulnerabilidad atrayendo a una víctima «Para acceder a un archivo especialmente diseñado, probablemente a través de un correo electrónico de phishing», dijo Scott Caveza, ingeniero de investigación de personal de Tenable, sobre CVE-2024-38200. «La explotación exitosa de la vulnerabilidad podría dar como resultado que la víctima exponga los hashes de New Technology Lan Manager (NTLM) a un atacante remoto. Los hashes NTLM podrían ser abusados ​​en ataques de retransmisión NTLM o de paso de hash para ampliar la presencia de un atacante en una organización». La actualización también soluciona un fallo de escalada de privilegios en el componente Print Spooler (CVE-2024-38198, puntuación CVSS: 7,8), que permite a un atacante obtener privilegios de SYSTEM. «La explotación exitosa de esta vulnerabilidad requiere que un atacante gane una condición de carrera», dijo Microsoft. Dicho esto, Microsoft aún no ha publicado actualizaciones para CVE-2024-38202 y CVE-2024-21302, que podrían utilizarse para realizar ataques de degradación contra la arquitectura de actualización de Windows y reemplazar las versiones actuales de los archivos del sistema operativo por versiones anteriores. La revelación se produce tras un informe de Fortra sobre una falla de denegación de servicio (DoS) en el controlador del Sistema de archivos de registro común (CLFS) (CVE-2024-6768, puntuación CVSS: 6,8) que podría provocar un bloqueo del sistema, lo que daría lugar a una pantalla azul de la muerte (BSoD). Cuando se contactó con un portavoz de Microsoft para que hiciera comentarios, le dijo a The Hacker News que el problema «no cumple con los requisitos para un servicio inmediato según nuestras pautas de clasificación de gravedad y lo consideraremos para una futura actualización del producto». «La técnica descrita requiere que un atacante ya haya obtenido capacidades de ejecución de código en la máquina de destino y no otorga permisos elevados. Animamos a los clientes a practicar buenos hábitos informáticos en línea, incluyendo el ejercicio de la precaución al ejecutar programas que no son reconocidos por el usuario», añadió el portavoz. Parches de software de otros proveedores Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para corregir varias vulnerabilidades, entre ellas: ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.