Actualizaciones de abril para todas las empresas

Microsoft ha publicado actualizaciones de seguridad para el mes de abril de 2024 para corregir un récord de 149 fallas, dos de las cuales han sido explotadas activamente en la naturaleza.

De los 149 defectos, tres están clasificados como críticos, 142 como importantes, tres como moderados y uno como de gravedad baja. La actualización se suma a 21 vulnerabilidades que la compañía abordó en su navegador Edge basado en Chromium luego del lanzamiento de las correcciones del martes de parches de marzo de 2024.

Las dos deficiencias que han sido objeto de explotación activa se encuentran a continuación:

• CVE-2024-26234 (puntuación CVSS: 6,7): vulnerabilidad de suplantación de identidad del controlador proxy
• CVE-2024-29988 (puntuación CVSS: 8,8) - Vulnerabilidad de omisión de función de seguridad de solicitud de SmartScreen

En total, la versión se destaca por abordar hasta 68 ejecuciones remotas de código, 31 escalamiento de privilegios, 26 omisiones de funciones de seguridad y seis errores de denegación de servicio (DoS). Se destacan además:

• 24 fallos en Secure Boot. Esto permite eludir los mecanismos de seguridad de arranque manipulando la UEFI. 
• Una actualización masiva  de 40 parches en Microsoft OLE Driver for SQL Server. Todas importantes. Afectan al cliente, que podría ser engañado para conectarse a otro servidor. 
• 7 fallas importantes en el servidor DNS de Microsoft.
• 6 fallos que permiten ejecución remota en Microsoft Defender para IoT, tres importantes y tres críticos. 
• Un fallo en Outlook fácil de explotar, que permite explotar la técnica de "pass the hash" a un tercero, y por otro lado se añade otro problema (ya habitual) para eludir SmartScreen.

Si bien el propio aviso de Microsoft no proporciona información sobre CVE-2024-26234, la empresa de ciberseguridad Sophos dijo que descubrió en diciembre de 2023 un ejecutable malicioso ("Catalog.exe" o "Servicio de cliente de autenticación de catálogo") firmado por un certificado de editor de compatibilidad de hardware de Microsoft Windows válido. (WHCP).

El análisis de Authenticode del binario ha revelado que el editor solicitante original es Hainan YouHu Technology Co. Ltd, que también es el editor de otra herramienta llamada LaiXi Android Screen Mirroring. Este último se describe como "un software de marketing... [que] puede conectar cientos de teléfonos móviles y controlarlos en lotes, y automatizar tareas como seguir lotes, dar me gusta y comentar".

Dentro del supuesto servicio de autenticación hay un componente llamado 3proxy que está diseñado para monitorear e interceptar el tráfico de red en un sistema infectado, actuando efectivamente como una puerta trasera.

La compañía de ciberseguridad también dijo que descubrió muchas otras variantes de la puerta trasera en estado salvaje desde el 5 de enero de 2023, lo que indica que la campaña ha estado en marcha al menos desde entonces. Desde entonces, Microsoft ha agregado los archivos relevantes a su lista de revocación.

La otra falla de seguridad que, según se informa, ha sido objeto de ataque activo es CVE-2024-29988, que, al igual que CVE-2024-21412 y CVE-2023-36025, permite a los atacantes eludir las protecciones de Microsoft Defender Smartscreen al abrir un archivo especialmente diseñado.

"Para explotar esta característica de seguridad y evitar la vulnerabilidad, un atacante necesitaría convencer a un usuario para que inicie archivos maliciosos utilizando una aplicación de inicio que solicite que no se muestre ninguna interfaz de usuario", dijo Microsoft. "En un escenario de ataque por correo electrónico o mensajes instantáneos, el atacante podría enviar al usuario objetivo un archivo especialmente diseñado para explotar la vulnerabilidad de ejecución remota de código".

La Zero Day Initiativereveló que hay evidencia de que la falla está siendo explotada en la naturaleza, aunque Microsoft la ha etiquetado con una evaluación de "Explotación más probable".

Otra vulnerabilidad de importancia es CVE-2024-29990 (puntuación CVSS: 9,0), una falla de elevación de privilegios que afecta al contenedor confidencial del servicio Microsoft Azure Kubernetes y que podría ser explotada por atacantes no autenticados para robar credenciales. "Un atacante puede acceder al nodo AKS Kubernetes que no es de confianza y al contenedor confidencial AKS para apoderarse de invitados y contenedores confidenciales más allá de la pila de red a la que podría estar vinculado", dijo Redmond.

La divulgación se produce cuando Microsoft ha enfrentado críticas por sus prácticas de seguridad, con un informe reciente de la Junta de Revisión de Seguridad Cibernética (CSRB) de EE.UU. denunciando a la compañía por no hacer lo suficiente para prevenir una campaña de ciberespionaje orquestada por un actor de amenazas chino rastreado como Storm0558 el año pasado.

También sigue a la decisión de la compañía de publicar datos de la causa raíz de las fallas de seguridad utilizando el estándar industrial Common Weakness Enumeration (CWE). Sin embargo, vale la pena señalar que los cambios solo entran en vigor a partir de los avisos publicados desde marzo de 2024.

"La adición de evaluaciones CWE a los avisos de seguridad de Microsoft ayuda a identificar la causa raíz genérica de una vulnerabilidad", dijo Adam Barnett, ingeniero de software líder en Rapid7. El programa CWE ha actualizado recientemente su guía sobre cómo asignar CVE a una causa raíz de CWE.

El análisis de las tendencias de CWE puede ayudar a los desarrolladores a reducir los sucesos futuros a través de pruebas y flujos de trabajo mejorados del ciclo de vida del desarrollo de software (SDLC), además de ayudar a los defensores a comprender hacia dónde dirigir esfuerzos de defensa en profundidad y refuerzo del despliegue para obtener el mejor retorno de la inversión.

La firma de ciberseguridad Varonis detalló dos métodos que los atacantes podrían adoptar para eludir los registros de auditoría y evitar desencadenar eventos de descarga mientras extraen archivos de SharePoint.

El primer enfoque aprovecha la función "Abrir en la aplicación" de SharePoint para acceder y descargar archivos, mientras que el segundo utiliza el User-Agent para Microsoft SkyDriveSync para descargar archivos o incluso sitios completos mientras clasifica erróneamente eventos como sincronizaciones de archivos en lugar de descargas.

Microsoft, que tuvo conocimiento de los problemas en noviembre de 2023, aún no ha publicado una solución, aunque se han agregado a su programa de parches pendientes. Mientras tanto, se recomienda a las organizaciones que supervisen de cerca sus registros de auditoría para detectar eventos de acceso sospechosos, específicamente aquellos que involucran grandes volúmenes de descargas de archivos en un período corto.

Parches para otras aplicaciones

• Adobe
• AMD
• Android
• Apache XML Security for C++
• Aruba Networks
• Atos
• Bosch
• Cisco
• D-Link
• Dell
• Drupal
• F5
• Fortinet
• Fortra
• GitLab
• Google Chrome
• Google Cloud
• Google Pixel
• Hikvision
• Hitachi Energy
• HP
• HP Enterprise
• HTTP/2
• IBM
• Jenkins
• Lenovo
• LG webOS
• Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
• MediaTek
• Mozilla Firefox, Firefox ESR, and Thunderbird
• NETGEAR
• NVIDIA
• Qualcomm
• Rockwell Automation
• Rust
• Samsung
• SAP
• Schneider Electric
• Siemens
• Splunk
• Synology
• Trend Micro
• VMware
• WordPress
• Zoom

Fuente: THN

Suscríbete a nuestro Boletín