ADVERTENCIA: EL PARCHE DE MICROSOFT DEL MARTES DE AGOSTO DE 2024 CORRIGE 88 VULNERABILIDADES (7 CRÍTICAS, 10 DE DÍA CERO, INCLUIDAS 6 EXPLOTADAS ACTIVAMENTE). ¡APLIQUE EL PARCHE INMEDIATAMENTE!
Microsoft ha lanzado múltiples parches para vulnerabilidades que cubren una amplia gama de productos.
Estos lanzamientos mensuales se denominan “Patch Tuesday” y contienen correcciones de seguridad para dispositivos y software de Microsoft.
El CCB desea llamar su atención sobre las siguientes vulnerabilidades:
Vulnerabilidades explotadas activamente
CVE-2024-38178: motor de secuencias de comandos de Windows
Vulnerabilidad de ejecución remota de código
Según Microsoft, el ataque requiere que un cliente autenticado haga clic en un enlace para que un atacante no autenticado inicie la ejecución remota del código. Se debe hacer clic en este enlace desde un navegador Microsoft Edge en modo Internet Explorer.
Si bien estos requisitos limitan la explotabilidad de este CVE, el Centro Nacional de Seguridad Cibernética de Corea del Sur (NCSC) y AhnLab observaron una explotación activa.
CVE-2024-38193: controlador de funciones auxiliares de Windows para WinSock
Vulnerabilidad por elevación de privilegios
Un atacante que aproveche con éxito esta vulnerabilidad podría obtener privilegios de SISTEMA.
Nota: Microsoft informó sobre CVE-2024-38141, una vulnerabilidad de elevación de privilegios similar que también afecta a Windows Ancillary Function Driver para Winsock. Si bien no se explota activamente, Microsoft evalúa la explotabilidad de CVE-2024-38141 como «más probable».
CVE-2024-38189 – Proyecto de Microsoft Office
Vulnerabilidad de ejecución remota de código
La explotación de esta vulnerabilidad requiere dos elementos:
- La víctima tiene que abrir un archivo malicioso de Microsoft Office Project, enviado por correo electrónico o alojado en un sitio web comprometido o controlado por un actor; y
- El sistema de la víctima tiene funciones de seguridad deshabilitadas; es decir, la política “Bloquear la ejecución de macros en archivos de Office desde Internet” está deshabilitada y las “Configuraciones de notificación de macros de VBA” no están habilitadas.
CVE-2024-38213: Marca de la Web de Windows (MOTW)
Vulnerabilidad de omisión de funciones de seguridad
Esta vulnerabilidad permite al atacante crear archivos que eluden la experiencia de usuario de SmartScreen. Windows Mark of the Web es un objetivo atractivo para los actores de amenazas que han eludido repetidamente esta función de seguridad para realizar campañas de phishing.
Para explotar esta vulnerabilidad es necesario que la víctima abra un archivo malicioso.
CVE-2024-38106: núcleo de Windows
Vulnerabilidad por elevación de privilegios
Un atacante que aproveche esta vulnerabilidad podría obtener privilegios de SISTEMA. El atacante debe superar una condición de carrera para poder aprovechar esta vulnerabilidad.
Nota: En el Patch Tuesday de este mes, Microsoft también publicó correcciones para otras dos vulnerabilidades importantes de elevación de privilegios que afectan al kernel de Windows (CVE-2024-38133 y CVE-2024-38153). Los atacantes que aprovechen estas vulnerabilidades podrían obtener privilegios de SISTEMA. Ninguna de ellas se ha detectado como explotada en la red todavía, pero Microsoft evalúa que es probable que se explote CVE-2024-38153.
CVE-2024-38107: Coordinador de dependencias de energía de Windows
Vulnerabilidad por elevación de privilegios
Esta vulnerabilidad podría otorgar a los atacantes privilegios de SISTEMA en el dispositivo Windows.
Vulnerabilidades de día cero
CVE-2024-38199 – Servicio LPD (Line Printer Daemon) de Windows
Ejecución remota de código
Esta vulnerabilidad permite al atacante realizar una ejecución remota de código en el servidor enviando una tarea de impresión especialmente diseñada a un servicio Windows Line Printer Daemon (LPD) vulnerable compartido a través de una red.
Cabe señalar que LPD está obsoleto desde Windows Server 2012 y no está instalado ni habilitado de forma predeterminada.
CVE-2024-21302: Modo de kernel seguro de Windows
Vulnerabilidad por elevación de privilegios
Existe una falla en los sistemas basados en Windows 10, Windows 11, Windows Server 2016 y versiones posteriores, incluidas las máquinas virtuales de Azure que admiten la seguridad basada en virtualización (VBS). Un atacante que aproveche esta vulnerabilidad podría obtener privilegios de SISTEMA.
Esta vulnerabilidad permite a un atacante con privilegios de administrador reemplazar versiones actuales de archivos del sistema de Windows por versiones obsoletas. Al explotar esta vulnerabilidad, un atacante podría reintroducir vulnerabilidades mitigadas anteriormente, eludir algunas características de VBS y exfiltrar datos protegidos por VBS.
Aún no hay una solución disponible. Mientras tanto, Microsoft publicó medidas de mitigación, incluida una política de revocación de suscripción.
CVE-2024-38200 – Microsoft Office
Vulnerabilidad de suplantación de identidad
Para explotar esta vulnerabilidad, la víctima debe hacer clic en un archivo creado específicamente para ello. Es importante señalar que el 30 de julio de 2024 se habilitó una solución alternativa a través de Feature Flighting para que todas las versiones de Microsoft Office y Microsoft 365 que reciben soporte técnico estén protegidas contra esta vulnerabilidad. Microsoft recomienda que los usuarios sigan instalando la actualización del martes de parches de agosto de 2024 para obtener una versión final de la solución. Mientras tanto, Microsoft publicó medidas de mitigación.
CVE-2024-38202: pila de actualizaciones de Windows
Vulnerabilidad por elevación de privilegios
Una falla en Windows Update Stack permite a un atacante con privilegios de usuario básicos reintroducir vulnerabilidades mitigadas previamente o eludir algunas características de Virtualization Based Security (VBS). Sin embargo, para que esta vulnerabilidad tenga éxito, un atacante que intente explotarla requiere la interacción adicional de un usuario privilegiado. El atacante debe tener permisos para acceder al directorio del sistema del objetivo para colocar la carpeta maliciosa que se utilizará como parte de la explotación.
Todavía no hay una solución disponible.
Otras vulnerabilidades críticas
CVE-2024-38063: TCP/IP de Windows
Ejecución remota de código
La explotación exitosa de este CVE permitiría a un atacante ejecutar código arbitrario en el sistema de destino con privilegios de SISTEMA, dándole así al atacante control total sobre la máquina comprometida.
Esta vulnerabilidad afecta Todas las versiones compatibles de Windows y Windows Serverincluidas las instalaciones de Server Core.
Este Vulnerabilidad de 0 clics Se puede explotar de forma remota enviando paquetes IPv6 especialmente diseñados a un host de destino. Es importante tener en cuenta que solo se pueden explotar de forma abusiva los paquetes IPv6. Los sistemas no se ven afectados si IPv6 está deshabilitado en la máquina de destino.
Aunque no se explota activamente, Microsoft ha calificado la vulnerabilidad como de “explotación más probable”.
CVE-2024-38206: Microsoft Copilot Studio
Vulnerabilidad de divulgación de información
Un atacante autenticado puede eludir la protección contra falsificación de solicitudes del lado del servidor (SSRF) en Microsoft Copilot Studio para filtrar información confidencial a través de una red.
Esta vulnerabilidad ya está totalmente mitigada por Microsoft.
CVE-2024-38109: bot de Azure Health
Vulnerabilidad por elevación de privilegios
Un atacante autenticado puede explotar una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) en Microsoft Azure Health Bot para elevar privilegios en una red.
Esta vulnerabilidad ya está totalmente mitigada por Microsoft.