Microsoft lanzó el martes soluciones para abordar un total de 90 fallos de seguridad, incluidos 10 zero-days, de los cuales seis han sido explotados activamente.
De los 90 errores, siete están clasificados como críticos, 79 como importantes y uno como moderado en severidad. Esto se suma a las 36 vulnerabilidades que la gigante tecnológica resolvió en su navegador Edge desde el mes pasado.
Las actualizaciones de Patch Tuesday son notables por abordar seis zero-days explotados activamente:
- CVE-2024-38189 (puntuación CVSS: 8.8) – Vulnerabilidad de ejecución remota de código en Microsoft Project.
- CVE-2024-38178 (puntuación CVSS: 7.5) – Vulnerabilidad de corrupción de memoria en el motor de scripting de Windows.
- CVE-2024-38193 (puntuación CVSS: 7.8) – Vulnerabilidad de elevación de privilegios en el controlador de funciones auxiliares de Windows para WinSock.
- CVE-2024-38106 (puntuación CVSS: 7.0) – Vulnerabilidad de elevación de privilegios en el kernel de Windows.
- CVE-2024-38107 (puntuación CVSS: 7.8) – Vulnerabilidad de elevación de privilegios en el coordinador de dependencia de energía de Windows.
- CVE-2024-38213 (puntuación CVSS: 6.5) – Vulnerabilidad de omisión de la función de seguridad Mark of the Web en Windows.
La CVE-2024-38213, que permite a los atacantes eludir las protecciones de SmartScreen, requiere que el atacante envíe un archivo malicioso al usuario y lo convenza de abrirlo. Peter Girnus de Trend Micro es acreditado por descubrir y reportar este fallo, sugiriendo que podría ser una elusión de CVE-2024-21412 o CVE-2023-36025, que fueron explotados previamente por los operadores de malware DarkGate.
Este desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar los fallos a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que obliga a las agencias federales a aplicar las correcciones antes del 3 de septiembre de 2024.
Cuatro de las siguientes CVE se enumeran como públicamente conocidas:
- CVE-2024-38200 (puntuación CVSS: 7.5) – Vulnerabilidad de suplantación en Microsoft Office.
- CVE-2024-38199 (puntuación CVSS: 9.8) – Vulnerabilidad de ejecución remota de código en el servicio de demonio de impresora de línea de Windows (LPD).
- CVE-2024-21302 (puntuación CVSS: 6.7) – Vulnerabilidad de elevación de privilegios en el modo kernel seguro de Windows.
- CVE-2024-38202 (puntuación CVSS: 7.3) – Vulnerabilidad de elevación de privilegios en la pila de actualizaciones de Windows.
“Un atacante podría aprovechar esta vulnerabilidad al inducir a una víctima a acceder a un archivo especialmente diseñado, probablemente a través de un correo electrónico de phishing”, dijo Scott Caveza, ingeniero de investigación de Tenable, sobre la CVE-2024-38200.
“La explotación exitosa de la vulnerabilidad podría resultar en la exposición de hashes de New Technology Lan Manager (NTLM) a un atacante remoto. Los hashes de NTLM podrían ser abusados en ataques de retransmisión NTLM o de pass-the-hash para afianzar aún más la posición de un atacante dentro de una organización.”
La actualización también aborda una vulnerabilidad de escalamiento de privilegios en el componente de cola de impresión (CVE-2024-38198, puntuación CVSS: 7.8), que permite a un atacante obtener privilegios de SISTEMA. “La explotación exitosa de esta vulnerabilidad requiere que un atacante gane una condición de carrera”, dijo Microsoft.
Dicho esto, Microsoft aún no ha lanzado actualizaciones para CVE-2024-38202 y CVE-2024-21302, que podrían ser abusadas para llevar a cabo ataques de degradación contra la arquitectura de actualización de Windows y reemplazar las versiones actuales de los archivos del sistema operativo con versiones anteriores.
La divulgación sigue a un informe de Fortra sobre una vulnerabilidad de denegación de servicio (DoS) en el controlador del Sistema de Archivos de Registro Común (CLFS) (CVE-2024-6768, puntuación CVSS: 6.8) que podría causar un bloqueo del sistema, resultando en una pantalla azul de la muerte (BSoD).
Cuando se le pidió un comentario, un portavoz de Microsoft dijo a The Hacker News que el problema “no cumple con el estándar para el servicio inmediato según nuestras pautas de clasificación de gravedad y lo consideraremos para una futura actualización del producto”.