En el martes de parches de agosto de 2024, Microsoft incluye actualizaciones
de seguridad para 89 fallas, incluidas
seis explotadas activamente y tres de día cero divulgadas públicamente.
Microsoft todavía está trabajando en una actualización para el décimo Zero-Day
lanzado públicamente.
Las ocho vulnerabilidades críticas son una combinación de elevación de
privilegios, ejecución remota de código y divulgación de información. La
cantidad de errores en cada categoría de vulnerabilidad se enumera a
continuación:
- 36 Vulnerabilidades de elevación de privilegios
- 4 vulnerabilidades de omisión de funciones de seguridad
- 28 vulnerabilidades de ejecución remota de código
- 8 vulnerabilidades de divulgación de información
- 6 vulnerabilidades de denegación de servicio
- 7 vulnerabilidades de suplantación de identidad
La cantidad de errores enumerados anteriormente no incluye las fallas de
Microsoft Edge que se revelaron a principios de este mes.
Para obtener más información sobre las actualizaciones no relacionadas con la
seguridad, se puede revisar los artículos dedicados a la nueva
actualización de Windows 11 KB5041585
y a la
actualización de Windows 10 KB5041580.
Diez Zero-Days revelados
El martes de parches de este mes corrige seis vulnerabilidades de día cero
explotadas activamente y otras tres divulgadas públicamente. Otro día cero
divulgado públicamente sigue sin solucionarse en este momento, pero Microsoft
está trabajando en una actualización.
Microsoft clasifica una falla de día cero como aquella que se divulga
públicamente o se explota activamente mientras no hay una solución oficial
disponible.
Las seis vulnerabilidades Zero-Day explotadas activamente en las
actualizaciones de hoy son:
-
CVE-2024-38178: Vulnerabilidad de corrupción de memoria del motor de secuencias de
comandos. El ataque requiere que un cliente autenticado haga clic en un
enlace para que un atacante no autenticado inicie la ejecución remota de
código. Se debe hacer clic en el enlace en Microsoft Edge en modo Internet
Explorer, lo que lo convierte en una falla difícil de explotar. Sin embargo,
incluso con estos requisitos previos, el Centro Nacional de Seguridad
Cibernética de Corea del Sur (NCSC) y AhnLab revelaron que la falla estaba
siendo explotada en ataques. -
CVE-2024-38193: Vulnerabilidad de elevación de privilegios de WinSock permite que los
ataques obtengan privilegios de SYSTEM en sistemas Windows. -
CVE-2024-38213: Vulnerabilidad de omisión de la característica de seguridad web de
Windows permite a los atacantes crear archivos que eluden las alertas de
seguridad de la Marca Web de Windows. Esta característica de seguridad ha
sido objeto de numerosas elusiones a lo largo del año, ya que es un objetivo
atractivo para los actores de amenazas que realizan campañas de phishing. -
CVE-2024-38106: Vulnerabilidad de elevación de privilegios en el kernel de Windows que
otorga privilegios del SYSTEM. -
CVE-2024-38107: Vulnerabilidad de elevación de privilegios del coordinador de dependencia
de energía de Windows que otorga a los atacantes privilegios de SYSTEM. -
CVE-2024-38189: Vulnerabilidad de ejecución remota de código de Microsoft Project que
requiere que las funciones de seguridad estén deshabilitadas para su
explotación. Los atacantes necesitarían engañar al usuario para que abra el
archivo malicioso, ya sea mediante ataques de phishing o atrayendo a los
usuarios a sitios web que alojan el archivo.
Las cuatro vulnerabilidades divulgadas públicamente son:
-
CVE-2024-38199: Vulnerabilidad de ejecución remota de código del servicio Windows Line
Printer Daemon (LPD).
«Un atacante no autenticado podría enviar una tarea de impresión
especialmente diseñada a un servicio vulnerable compartido de Windows
Line Printer Daemon (LPD) a través de una red. La explotación exitosa
podría resultar en la ejecución remota de código en el servidor», explica el aviso de Microsoft. -
CVE-2024-21302: Vulnerabilidad de elevación de privilegios en modo kernel seguro de
Windows. Esta falla fue revelada por el investigador de seguridad de
SafeBreach, Alon Leviev, como parte de una charla sobre ataques de
degradación de
Windows Downdate en Black Hat 2024. El ataque Windows Downdate elimina los parches de los sistemas Windows
10, Windows 11 y Windows Server completamente actualizados para
reintroducir vulnerabilidades antiguas mediante actualizaciones
especialmente diseñadas. Esta falla permite a los atacantes obtener
privilegios elevados para instalar actualizaciones maliciosas. -
CVE-2024-38200: Vulnerabilidad de suplantación de identidad en Microsoft Office.
Microsoft solucionó una
vulnerabilidad de Microsoft Office que expone hashes NTLM
como se revela en la
charla Defcon «NTLM – The last ride». Los atacantes podrían aprovechar la falla engañando a alguien para que
abra un archivo malicioso, lo que luego obligaría a Office a realizar una
conexión saliente a un recurso compartido remoto donde los atacantes
podrían robar los hashes NTLM enviados. -
CVE-2024-38202: Vulnerabilidad de elevación de privilegios en la pila de actualización
de Windows. Esta falla también fue parte de la charla sobre el ataque a la
degradación de Windows Downdate en Black Hat 2024. Microsoft está
desarrollando una actualización de seguridad para mitigar esta amenaza,
pero aún no está disponible.
Actualizaciones recientes de otras empresas.
Otros proveedores que publicaron actualizaciones o avisos en agosto de
2024 incluyen:
- La falla 0.0.0.0 Day permite que sitios web maliciosos eludan las funciones de seguridad del navegador y accedan a servicios en una red local.
- Android fixes actively exploited RCE.
-
CISA warned of Cisco Smart Install (SMI) feature being
abused in attacks. -
Cisco warns of
critical RCE flaws
in end-of-life Small Business SPA 300 and SPA 500 series IP phones. -
New GhostWrite vulnerability
lets unprivileged attackers read and write to the computer’s memory on
T-Head XuanTie C910 and C920 RISC-V CPUs and control peripheral devices. -
Ivanti
releases security updates
for critical vTM auth bypass with public exploit. -
Microsoft warned about a new Office flaw tracked as CVE-2024-38200 that
leaks NTLM hashes. -
New
SinkClose flaw
lets attackers gain Ring -2 privileges on AMD CPUs. -
New Linux
SLUBStick flaw
converts a limited heap vulnerability into an arbitrary memory
read-and-write capability. -
New
Windows DownDate flaw
lets attackers downgrade the operating system to reintroduce
vulnerabilities.