El martes de parches de noviembre de 2024 de Microsoft incluye actualizaciones
de seguridad para 89 fallas, incluidas
cuatro Zero-Day, dos de las cuales se explotan activamente.
La cantidad de errores en cada categoría de vulnerabilidad se enumera a
continuación:
- 26 vulnerabilidades de elevación de privilegios
- 2 vulnerabilidades de omisión de funciones de seguridad
- 52 vulnerabilidades de ejecución remota de código
- 1 Vulnerabilidad de divulgación de información
- 4 vulnerabilidades de denegación de servicio
- 3 vulnerabilidades de suplantación de identidad
Este recuento no incluye dos fallas de Edge que se solucionaron previamente el
7 de noviembre.
Para obtener más información sobre las actualizaciones no relacionadas con la
seguridad, puede revisar los artículos dedicados a las nuevas
actualizaciones acumulativas KB5046617 y KB5046633 de Windows 11
y a la
actualización KB5046613 de Windows 10.
Cuatro días cero revelados
Los parches de este mes corrigen cuatro días cero, dos de los cuales fueron
explotados activamente en ataques y tres se divulgaron públicamente.
Las dos vulnerabilidades de día cero explotadas activamente en las
actualizaciones de hoy son:
CVE-2024-43451: Vulnerabilidad de suplantación de identidad de divulgación de
hash NTLM
Microsoft ha solucionado una vulnerabilidad que expone los hashes NTLM a
atacantes remotos con una interacción mínima con un archivo malicioso. «Esta vulnerabilidad revela el hash NTLMv2 de un usuario al atacante, quien
podría usarlo para autenticarse como usuario», explicó Microsoft.
«Una interacción mínima con un archivo malicioso por parte de un usuario, como
seleccionar (un solo clic), inspeccionar (hacer clic con el botón derecho) o
realizar una acción distinta a abrir o ejecutar, podría desencadenar esta
vulnerabilidad», continuó Microsoft.
Microsoft dice que Israel Yeshurun de ClearSky Cyber Security descubrió
esta vulnerabilidad y que se reveló públicamente, pero no compartió más
detalles.
CVE-2024-49039: Vulnerabilidad de elevación de privilegios en el Programador de
tareas de Windows
Se podría ejecutar una aplicación especialmente diseñada que eleve el privilegio
al nivel de integridad medio. «En este caso, un ataque exitoso podría realizarse desde un AppContainer de
bajos privilegios. El atacante podría elevar sus privilegios y ejecutar código o
acceder a recursos en un nivel de integridad más alto que el del entorno de
ejecución de AppContainer», explicó Microsoft.
Microsoft afirma que explotar esta vulnerabilidad permitiría a los atacantes
ejecutar funciones RPC que normalmente están restringidas a cuentas
privilegiadas. No se sabe cómo se aprovechó la falla en los ataques.
Las otras tres vulnerabilidades que se divulgaron públicamente pero no se aprovecharon en los ataques son:
CVE-2024-49040: Vulnerabilidad de suplantación de identidad en Microsoft Exchange Server
Microsoft ha solucionado una vulnerabilidad de Microsoft Exchange que permite a los actores de amenazas falsificar la dirección de correo electrónico del remitente en correos electrónicos dirigidos a destinatarios locales.
«Microsoft es consciente de una vulnerabilidad (CVE-2024-49040) que permite a
los atacantes ejecutar ataques de suplantación de identidad contra Microsoft
Exchange Server», explica un aviso relacionado de Microsoft. «La vulnerabilidad es causada por la implementación actual de la verificación
del encabezado P2 FROM, que ocurre en el transporte».
A partir de las actualizaciones de seguridad de Microsoft Exchange de este
mes, Microsoft ahora detecta y marca correos electrónicos falsificados con una
alerta antepuesta al cuerpo del correo electrónico que dice: «Aviso: este
correo electrónico parece sospechoso. No confíe en la información, los enlaces
o los archivos adjuntos de este correo electrónico sin verificar la fuente a
través de un método confiable».
CVE-2024-49019: Vulnerabilidad de elevación de privilegios en los servicios de
certificados de Active Directory
Microsoft solucionó una falla que permite a los atacantes obtener privilegios
de administrador de dominio al abusar de las plantillas de certificado integradas predeterminadas versión 1. «Utilizando plantillas de certificado de versión 1 predeterminadas integradas,
un atacante puede crear una CSR para incluir políticas de aplicación que sean
preferidas a los atributos de uso de clave extendida configurados
especificados en la plantilla», se lee en el informe de TrustedSec.
Como se explicó anteriormente, CVE-2024-43451 también se reveló públicamente.
Actualizaciones recientes de otras empresas.
Otros proveedores que publicaron actualizaciones o avisos en noviembre de 2024
incluyen:
-
Adobe released
security updates
for numerous applications, including Photoshop, Illustrator, and Commerce. -
Cisco
releases security updates
for multiple products, including Cisco Phones, Nexus Dashboard, Identity
Services Engine, and more. -
Citrix
releases security updates
for NetScaler ADC and NetScaler Gateway vulnerabilities. They also
released an update
for the Citrix Virtual Apps and Desktops reported by
Watchtowr. -
Dell releases
security updates
for code execution and security bypass flaws in SONiC OS. -
D-Link releases a
security update
for a critical DSL6740C flaw that allows modification of account passwords. -
Google
released
Chrome 131, which includes 12 security fixes. No zero-days. -
Ivanti releases security updates for twenty-five vulnerabilities in Ivanti
Connect Secure (ICS), Ivanti Policy Secure (IPS), Ivanti Secure Access
Client (ISAC). -
SAP
releases security updates
for multiple products as part of November Patch Day. -
Schneider Electric releases
security updates
for flaws in Modicon M340, Momentum, and MC80 products. -
Siemens released a
security update
for a critical 10/10 flaw in TeleControl Server Basic tracked as
CVE-2024-44102.