9 oct 2024

Actualizaciones de seguridad de octubre para todas las empresas

Microsoft ha lanzado actualizaciones de seguridad para corregir un total de 118 vulnerabilidades en su cartera de software, dos de las cuales han sido explotadas activamente en la naturaleza.

De los 118 defectos, tres están clasificados como críticos, 113 como importantes y dos como de gravedad moderada. La cantidad de errores en cada categoría de vulnerabilidad se enumera a continuación:

  • 28 vulnerabilidades de elevación de privilegios
  • 7 vulnerabilidades de omisión de funciones de seguridad
  • 43 vulnerabilidades de ejecución remota de código
  • 6 vulnerabilidades de divulgación de información
  • 26 vulnerabilidades de denegación de servicio
  • 7 vulnerabilidades de suplantación de identidad

Este recuento no incluye las 25 fallas adicionales que el gigante tecnológico abordó en su navegador Edge basado en Chromium durante el mes pasado.

Para obtener más información sobre las actualizaciones no relacionadas con la seguridad publicadas hoy, puede revisar nuestros artículos dedicados a las nuevas actualizaciones acumulativas KB5044284 y KB5044285 de Windows 11 y a la actualización KB5044273 de Windows 10.

Cinco de las vulnerabilidades figuran como conocidas públicamente en el momento de su publicación, y dos de ellas se encuentran bajo explotación activa como Zero-Day:

  • CVE-2024-43572 (CVSS: 7,8): vulnerabilidad de ejecución remota de código de Microsoft Management Console (explotación detectada)
  • CVE-2024-43573 (CVSS: 6,5): vulnerabilidad de suplantación de identidad en la plataforma MSHTML de Windows (explotación detectada). Si bien no está confirmado, esto podría ser una solución a una vulnerabilidad anterior que abusaba de MSHTML para falsificar extensiones de archivos en las alertas que se mostraban al abrir archivos. El mes pasado se reveló una falla de suplantación de identidad de MSHTML similar cuando los ataques utilizaron caracteres Braille en los nombres de archivos para falsificar archivos PDF.
  • CVE-2024-43583 (CVSS: 7,8): vulnerabilidad de elevación de privilegios de Winlogon.
  • CVE-2024-20659 (CVSS: 7.1): Vulnerabilidad de omisión de la función de seguridad Hyper-V de Windows.
  • CVE-2024-6197 (CVSS: 8,8): vulnerabilidad de ejecución remota de código Curl de código abierto (CVE que no es de Microsoft)

Vale la pena señalar que CVE-2024-43573 es similar a CVE-2024-38112 y CVE-2024-43461, otros dos defectos de suplantación de MSHTML que fueron explotados antes de julio de 2024 por el actor de amenazas Void Banshee para entregar el malware Atlantida Stealer.

Microsoft no menciona cómo se explotan las dos vulnerabilidades en la naturaleza, ni por quién, ni qué tan extendidas están. Le dio crédito a los investigadores Andrés y Shady por informar sobre CVE-2024-43572, pero no se ha dado ningún reconocimiento para CVE-2024-43573, lo que plantea la posibilidad de que pueda tratarse de un caso de omisión del parche.

"Desde el descubrimiento de CVE-2024-43572, Microsoft ahora impide que se abran en un sistema archivos MSC que no son de confianza", dijo Satnam Narang, ingeniero senior de investigación de Tenable.

La explotación activa de CVE-2024-43572 y CVE-2024-43573 también ha sido notada por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA), que los agregó a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias federales aplicarlas antes del 29 de octubre de 2024.

Entre todos los fallos revelados por Redmond el martes, el más grave se refiere a un fallo de ejecución remota en Microsoft Configuration Manager (CVE-2024-43468, CVSS: 9,8) que podría permitir a actores no autenticados ejecutar comandos arbitrarios. "Un atacante no autenticado podría explotar esta vulnerabilidad enviando solicitudes especialmente diseñadas al entorno de destino que se procesan de manera insegura, lo que permite al atacante ejecutar comandos en el servidor y/o la base de datos subyacente", dijo.

Otras dos fallas de gravedad con calificación crítica también informan sobre la ejecución remota de código en la extensión Visual Studio Code para Arduino (CVE-2024-43488, CVSS: 8,8) y el servidor de Protocolo de escritorio remoto (RDP) (CVE-2024-43582, CVSS: 8.1). "La explotación requiere que un atacante envíe paquetes deliberadamente mal formados a un host RPC de Windows y conduce a la ejecución de código en el contexto del servicio RPC, aunque lo que esto significa en la práctica puede depender de factores que incluyen la configuración de restricción de interfaz RPC en el activo objetivo. " Adam Barnett, ingeniero de software líder en Rapid7, habló sobre CVE-2024-43582. "Un lado positivo: la complejidad del ataque es alta, ya que el atacante debe ganar una condición de carrera para acceder a la memoria de forma incorrecta".

Microsoft dice que las actualizaciones acumulativas de este martes también solucionan un problema conocido que hace que los servidores de Windows interrumpan las conexiones de escritorio remoto en las redes empresariales después de instalar las actualizaciones de seguridad de Windows Server de julio. Redmond confirmó por primera vez este problema conocido luego de muchos informes de administradores de Windows de que el servicio RD Gateway seguía fallando cada 30 minutos después de instalar las actualizaciones de julio.

Actualizaciones recientes de otras empresas

Otros proveedores que publicaron actualizaciones o avisos en octubre de 2024 incluyen:

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!