Microsoft Corp. hoy impulsó actualizaciones de software para tapar más de 70 agujeros de seguridad en su ventanas sistemas operativos y productos relacionados, incluidas dos vulnerabilidades de día cero que ya están siendo explotadas en ataques activos.
Lo más destacado de este martes de parches gordos es CVE-2024-21412, una “omisión de funciones de seguridad” en la forma en que Windows maneja los archivos de acceso directo a Internet que, según Microsoft, está siendo objeto de vulnerabilidades activas. El aviso de Redmond sobre este error dice que un atacante tendría que convencer o engañar a un usuario para que abra un archivo de acceso directo malicioso.
Los investigadores de Trend Micro han vinculado la explotación en curso de CVE-2024-21412 a un grupo de amenazas persistentes avanzado denominado “Hidra de agua”, que, según dicen, utiliza la vulnerabilidad para ejecutar un archivo de instalación de Microsoft (.msi) malicioso que, a su vez, descarga un troyano de acceso remoto (RAT) en los sistemas Windows infectados.
La otra falla de día cero es CVE-2024-21351, otra característica de seguridad que se evita, esta en el paquete integrado. Pantalla inteligente de Windows Componente que intenta detectar archivos potencialmente maliciosos descargados de la Web. Kevin Breen en Laboratorios inmersivos dice que es importante tener en cuenta que esta vulnerabilidad por sí sola no es suficiente para que un atacante comprometa la estación de trabajo de un usuario y, en cambio, probablemente se usaría junto con algo como un ataque de phishing que entrega un archivo malicioso.
Satnam Narangingeniero de investigación senior en Sostenibledijo que esta es la quinta vulnerabilidad en Windows SmartScreen parcheada desde 2022 y las cinco han sido explotadas en estado salvaje como días cero. Incluyen CVE-2022-44698 en diciembre de 2022, CVE-2023-24880 en marzo de 2023, CVE-2023-32049 en julio de 2023 y CVE-2023-36025 en noviembre de 2023.
Narang llamó especial atención a CVE-2024-21410, un error de “elevación de privilegios” en Servidor Microsoft Exchange que, según Microsoft, es probable que sea explotado por atacantes. Los ataques a esta falla llevarían a la divulgación de hashes NTLM, que podrían aprovecharse como parte de un ataque de retransmisión NTLM o “pasar el hash”, que permite a un atacante hacerse pasar por un usuario legítimo sin tener que iniciar sesión.
“Sabemos que las fallas que pueden revelar información confidencial como los hashes NTLM son muy valiosas para los atacantes”, dijo Narang. “Un actor de amenazas con sede en Rusia aprovechó una vulnerabilidad similar para llevar a cabo ataques: CVE-2023-23397 es una vulnerabilidad de elevación de privilegios en Microsoft Outlook parcheada en marzo de 2023”.
Microsoft señala que antes de su Actualización acumulativa 14 (CU14) de Exchange Server 2019, una característica de seguridad llamada Protección extendida para la autenticación (EPA), que proporciona protecciones de retransmisión de credenciales NTLM, no estaba habilitada de forma predeterminada.
“En el futuro, CU14 habilita esto de forma predeterminada en los servidores Exchange, por lo que es importante actualizar”, dijo Narang.
Ingeniero de software líder de Rapid7 Adam Barnett destacó CVE-2024-21413, un error crítico de ejecución remota de código en oficina de microsoft eso podría explotarse simplemente viendo un mensaje especialmente diseñado en el panel Vista previa de Outlook.
“Microsoft Office normalmente protege a los usuarios de una variedad de ataques abriendo archivos con la Marca de la Web en Vista Protegida, lo que significa que Office procesará el documento sin buscar recursos externos potencialmente maliciosos”, dijo Barnett. “CVE-2024-21413 es una vulnerabilidad RCE crítica en Office que permite a un atacante hacer que un archivo se abra en modo de edición como si el usuario hubiera aceptado confiar en el archivo”.
Barnett enfatizó que los administradores responsables de las instalaciones de Office 2016 que aplican parches fuera de Microsoft Update deben tener en cuenta que el aviso enumera no menos de cinco parches separados que deben instalarse para lograr la corrección de CVE-2024-21413; Los artículos de la base de conocimientos (KB) de actualización individual señalan además que se bloqueará el inicio de las instalaciones de Office con parches parciales hasta que se haya instalado la combinación correcta de parches.
Es una buena idea que los usuarios finales de Windows se mantengan actualizados con las actualizaciones de seguridad de Microsoft, que de lo contrario pueden acumularse rápidamente. Eso no significa que tengas que instalarlos el martes de parches. De hecho, esperar uno o tres días antes de actualizar es una respuesta sensata, dado que a veces las actualizaciones salen mal y, por lo general, en unos pocos días Microsoft soluciona cualquier problema con sus parches. También es inteligente hacer una copia de seguridad de sus datos y/o crear una imagen de su unidad de Windows antes de aplicar nuevas actualizaciones.
Para obtener un desglose más detallado de las fallas individuales abordadas por Microsoft hoy, consulte la lista del SANS Internet Storm Center. Para aquellos administradores responsables de mantener entornos Windows más grandes, a menudo vale la pena estar atentos a Askwoody.com, que frecuentemente señala cuándo actualizaciones específicas de Microsoft están creando problemas para varios usuarios.
