Microsoft ha lanzado parches para abordar 73 fallas de seguridad que abarcan su línea de software como parte de sus actualizaciones del martes de parches para febrero de 2024, incluidos dos días cero que han sido objeto de explotación activa.
De las 73 vulnerabilidades, 5 están clasificadas como críticas, 65 como importantes y tres como moderadas en gravedad. Esto se suma a las 24 fallas que se han solucionado en el navegador Edge basado en Chromium desde el lanzamiento de las actualizaciones del martes de parches del 24 de enero.
Las dos fallas que figuran como bajo ataque activo en el momento del lanzamiento se encuentran a continuación:
- CVE-2024-21351 (Puntuación CVSS: 7,6) – Vulnerabilidad de omisión de la función de seguridad SmartScreen de Windows
- CVE-2024-21412 (Puntuación CVSS: 8,1) – Vulnerabilidad de omisión de la función de seguridad de archivos de acceso directo a Internet
“La vulnerabilidad permite que un actor malicioso inyecte código en SmartScreen y potencialmente obtenga la ejecución del código, lo que podría conducir a cierta exposición de datos, falta de disponibilidad del sistema o ambas cosas”, dijo Microsoft sobre CVE-2024-21351.
La explotación exitosa de la falla podría permitir a un atacante eludir las protecciones de SmartScreen y ejecutar código arbitrario. Sin embargo, para que el ataque funcione, el actor de la amenaza debe enviar al usuario un archivo malicioso y convencerlo de que lo abra.
CVE-2024-21412, de manera similar, permite a un atacante no autenticado eludir los controles de seguridad mostrados enviando un archivo especialmente diseñado a un usuario objetivo.
“Sin embargo, el atacante no tendría forma de obligar a un usuario a ver el contenido controlado por el atacante”. Redmond señaló. “En lugar de ello, el atacante tendría que convencerles de que actuaran haciendo clic en el enlace del archivo”.
CVE-2024-21351 es el segundo error de derivación descubierto en SmartScreen después de CVE-2023-36025 (puntuación CVSS: 8,8), que fue solucionado por el gigante tecnológico en noviembre de 2023. Desde entonces, varios grupos de piratas informáticos han explotado la falla para Proliferan DarkGate, Phemedrone Stealer y Mispadu.
Trend Micro, que detalló una campaña de ataque emprendida por Water Hydra (también conocido como DarkCasino) dirigida a los comerciantes del mercado financiero mediante una sofisticada cadena de ataque de día cero que aprovecha CVE-2024-21412, describió CVE-2024-21412 como un bypass para CVE-2023. -36025, lo que permite a los actores de amenazas evadir los controles de SmartScreen.
Water Hydra, detectada por primera vez en 2021, tiene un historial de lanzar ataques contra bancos, plataformas de criptomonedas, servicios comerciales, sitios de juegos de azar y casinos para entregar un troyano llamado DarkMe utilizando exploits de día cero, incluida la falla WinRAR que salió a la luz en Agosto de 2023 (CVE-2023-38831, puntuación CVSS: 7,8).
A finales del año pasado, la empresa china de ciberseguridad NSFOCUS graduó al grupo de hackers “con motivación económica” en una amenaza persistente avanzada (APT) completamente nueva.
“En enero de 2024, Water Hydra actualizó su cadena de infección aprovechando CVE-2024-21412 para ejecutar un archivo de instalación de Microsoft (.MSI) malicioso, agilizando el proceso de infección DarkMe”, dijo Trend Micro.
Desde entonces, ambas vulnerabilidades han sido agregadas al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), instando a las agencias federales a aplicar las últimas actualizaciones antes del 5 de marzo de 2024.
Microsoft también corrigió cinco fallas críticas:
- CVE-2024-20684 (Puntuación CVSS: 6,5) – Vulnerabilidad de denegación de servicio de Hyper-V en Windows
- CVE-2024-21357 (Puntuación CVSS: 7,5) – Vulnerabilidad de ejecución remota de código de multidifusión general pragmática (PGM) de Windows
- CVE-2024-21380 (Puntuación CVSS: 8.0) – Vulnerabilidad de divulgación de información de Microsoft Dynamics Business Central/NAV
- CVE-2024-21410 (Puntuación CVSS: 9,8) – Vulnerabilidad de elevación de privilegios en Microsoft Exchange Server
- CVE-2024-21413 (Puntuación CVSS: 9,8) – Vulnerabilidad de ejecución remota de código en Microsoft Outlook
“CVE-2024-21410 es una vulnerabilidad de elevación de privilegios en Microsoft Exchange Server”, dijo en un comunicado Satnam Narang, ingeniero senior de investigación de Tenable. “Según Microsoft, es más probable que los atacantes aprovechen este fallo”.
“La explotación de esta vulnerabilidad podría dar como resultado la divulgación del hash Net-New Technology LAN Manager (NTLM) versión 2 de un usuario objetivo, que podría retransmitirse a un servidor Exchange vulnerable en un ataque de retransmisión NTLM o de paso del hash, lo que permitir que el atacante se autentique como el usuario objetivo”.
La actualización de seguridad resuelve además 15 fallas de ejecución remota de código en el proveedor Microsoft WDAC OLE DB para SQL Server que un atacante podría explotar engañando a un usuario autenticado para que intente conectarse a un servidor SQL malicioso a través de OLEDB.
El parche se completa con una solución para CVE-2023-50387 (puntuación CVSS: 7,5), una falla de diseño de 24 años en la especificación DNSSEC de la que se puede abusar para agotar los recursos de la CPU y detener los solucionadores de DNS, lo que resulta en una denegación. fuera de servicio (DoS).
La vulnerabilidad recibió el nombre en código KeyTrap del Centro Nacional de Investigación para la Ciberseguridad Aplicada (ATHENE) en Darmstadt.
“Demostraron que con un solo paquete DNS el ataque puede agotar la CPU y detener todas las implementaciones de DNS ampliamente utilizadas y los proveedores de DNS públicos, como Google Public DNS y Cloudflare”, dijeron los investigadores. “De hecho, la popular implementación DNS BIND 9 puede permanecer parada hasta por 16 horas”.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad desde principios de mes para rectificar varias vulnerabilidades, entre ellas:
