Microsoft ha lanzado parches para abordar un total de 143 fallas de seguridad como parte de sus actualizaciones mensuales, dos de las cuales han sido explotadas activamente en el entorno salvaje.
Cinco de las 143 fallas son calificadas como críticas, 136 como importantes y cuatro como moderadas en severidad. Las correcciones se suman a las 33 vulnerabilidades que han sido abordadas en el navegador Edge basado en Chromium durante el último mes.
“La explotación exitosa de esta vulnerabilidad requiere que el atacante tome acciones adicionales antes de la explotación para preparar el entorno objetivo,” dijo Microsoft sobre CVE-2024-38112. “Un atacante tendría que enviar a la víctima un archivo malicioso que la víctima tendría que ejecutar.”
El investigador de seguridad de Check Point, Haifei Li, quien ha sido acreditado con el descubrimiento y reporte de la falla en mayo de 2024, dijo que los actores de amenazas están aprovechando archivos de acceso directo a Internet de Windows (.URL) especialmente diseñados que, al hacer clic, redirigen a las víctimas a una URL maliciosa invocando el navegador retirado Internet Explorer (IE).
“Se utiliza un truco adicional en IE para ocultar el nombre de la extensión maliciosa .HTA,” explicó Li. “Al abrir la URL con IE en lugar del navegador moderno y mucho más seguro Chrome/Edge en Windows, el atacante obtiene ventajas significativas en la explotación del computador de la víctima, aunque el computador esté ejecutando el moderno sistema operativo Windows 10/11.”
“CVE-2024-38080 es una falla de elevación de privilegios en Windows Hyper-V,” dijo Satnam Narang, ingeniero de investigación sénior en Tenable. “Un atacante local autenticado podría explotar esta vulnerabilidad para elevar privilegios al nivel SYSTEM tras una primera fase de compromiso del sistema objetivo.”
Aunque los detalles exactos sobre el abuso de CVE-2024-38080 son actualmente desconocidos, Narang señaló que esta es la primera de las 44 fallas de Hyper-V en ser explotada en el entorno salvaje desde 2022.
Otras dos fallas de seguridad parcheadas por Microsoft han sido listadas como conocidas públicamente al momento de su lanzamiento. Esto incluye un ataque de canal lateral llamado FetchBench (CVE-2024-37985, puntuación CVSS: 5.9) que podría permitir a un adversario visualizar la memoria heap de un proceso privilegiado que se ejecuta en sistemas basados en Arm.
La segunda vulnerabilidad divulgada públicamente es CVE-2024-35264 (puntuación CVSS: 8.1), un error de ejecución remota de código que afecta a .NET y Visual Studio.
“Un atacante podría explotar esto cerrando una secuencia http/3 mientras el cuerpo de la solicitud está siendo procesado, lo que lleva a una condición de carrera,” dijo Microsoft en un aviso. “Esto podría resultar en la ejecución remota de código.”
También se resolvieron como parte de las actualizaciones de Patch Tuesday 37 fallas de ejecución remota de código que afectan al proveedor OLE DB del cliente nativo de SQL Server, 20 vulnerabilidades de omisión de características de seguridad de Secure Boot, tres errores de escalada de privilegios de PowerShell y una vulnerabilidad de suplantación en el protocolo RADIUS (CVE-2024-3596, también conocida como BlastRADIUS).
“[Las fallas de SQL Server] afectan específicamente al proveedor OLE DB, por lo que no solo se deben actualizar las instancias de SQL Server, sino también el código del cliente que ejecuta versiones vulnerables del controlador de conexión,” dijo Greg Wiseman, gerente de producto líder en Rapid7.
“Por ejemplo, un atacante podría usar tácticas de ingeniería social para engañar a un usuario autenticado para que intente conectarse a una base de datos de SQL Server configurada para devolver datos maliciosos, permitiendo la ejecución de código arbitrario en el cliente.”
Cerrando la larga lista de parches está CVE-2024-38021 (puntuación CVSS: 8.8), una falla de ejecución remota de código en Microsoft Office que, si se explota con éxito, podría permitir a un atacante obtener altos privilegios, incluyendo funciones de lectura, escritura y eliminación.
Morphisec, que reportó la falla a Microsoft a finales de abril de 2024, dijo que la vulnerabilidad no requiere autenticación y representa un riesgo severo debido a su naturaleza sin clics.
“Los atacantes podrían explotar esta vulnerabilidad para obtener acceso no autorizado, ejecutar código arbitrario y causar daños sustanciales sin ninguna interacción del usuario,” dijo Michael Gorelik. “La ausencia de requisitos de autenticación la hace particularmente peligrosa, ya que abre la puerta a una explotación generalizada.”
