Ayer martes de parches de mayo de 2024, Microsoft publció actualizaciones de
seguridad para 61 fallas y
tres Zero-Day explotados activamente o divulgados públicamente.
Este martes solo corrige una vulnerabilidad crítica de ejecución remota de
código de Microsoft SharePoint Server.
La cantidad de errores en cada categoría de vulnerabilidad se enumera a
continuación:
- 17 Vulnerabilidades de elevación de privilegios
- 2 vulnerabilidades de omisión de funciones de seguridad
- 27 vulnerabilidades de ejecución remota de código
- 7 vulnerabilidades de divulgación de información
- 3 vulnerabilidades de denegación de servicio
- 4 vulnerabilidades de suplantación de identidad
El recuento total de 61 fallas no incluye 2 fallas de Microsoft Edge
corregidas el 2 de mayo y cuatro corregidas el 10 de mayo.
Microsoft llamó la atención urgente sobre un Zero-Day explotado activamente
y reportado por múltiples equipos externos de búsqueda de amenazas.
Explotación activa
El Zero-Day, identificado como
CVE-2024-30051 (Windows DWM Core Library Elevation of Privilege
Vulnerability), está documentado como un desbordamiento de búfer basado en la biblioteca
principal del DWM (Desktop Windows Management) que ya ha sido explotado
en ataques de malware que requieren privilegios elevados del SYSTEM. El error
tiene una puntuación de gravedad CVSS de 7,8/10 y una calificación de
«importante» de Redmond.
Desktop Window Manager es un servicio de Windows introducido en Windows Vista
que permite al sistema operativo utilizar la aceleración de hardware al
representar elementos de la interfaz gráfica de usuario, como animaciones de
transición 3D.
Los investigadores de seguridad de Kaspersky descubrieron la vulnerabilidad
mientras investigaban otro error de escalada de privilegios de la biblioteca
DWM Core de Windows rastreado como
CVE-2023-36033
y también explotado como un ataque Zero-Day.
«Hay ataques que aprovechan esta vulnerabilidad, y a mediados de abril
descubrimos un exploit. Lo hemos visto utilizado junto con QakBot y otro
malware, y creemos que múltiples actores de amenazas tienen acceso a él»,
dijo Kaspersky.
QakBot
(también conocido como Qbot) comenzó como un troyano bancario en 2008 y se
utilizaba para robar credenciales bancarias, cookies de sitios web y tarjetas
de crédito para cometer fraude financiero. Con el tiempo, QakBot evolucionó
hasta convertirse en un servicio de entrega de malware, asociándose con otros
grupos de amenazas para brindar acceso inicial a redes empresariales y
domésticas para ataques de ransomware, espionaje o robo de datos. Si bien
su infraestructura fue desmantelada en agosto de 2023
luego de una operación policial multinacional encabezada por el FBI y conocida
como Operación ‘Duck Hunt’,
el malware resurgió en campañas de phishing dirigidas
a la industria hotelera en diciembre.
Microsoft también marcó
CVE-2024-30040 (Windows MSHTML Platform Security Feature Bypass Vulnerability)
en la categoría ya explotado, advirtiendo que los atacantes están eludiendo
las funciones de seguridad en Microsoft 365 y Office. La falla, que tiene una
puntuación CVSS de 8,8, permite a los atacantes ejecutar código arbitrario si
un usuario está engañando para que cargue archivos maliciosos.
«Esta vulnerabilidad omite las mitigaciones OLE en Microsoft 365 y
Microsoft Office que protegen a los usuarios de controles COM/OLE
vulnerables. Un atacante no autenticado que explotara con éxito esta
vulnerabilidad podría obtener la ejecución de código convenciendo a un
usuario de que abra un documento malicioso, momento en el cual el atacante
podría ejecutar código arbitrario en el contexto del usuario», dijo Microsoft.
CVE-2024-30040 es una omisión de seguridad en MSHTML, un
componente que está profundamente vinculado al navegador web predeterminado en
los sistemas Windows. El aviso de Microsoft sobre esta falla es bastante escaso,
pero Kevin Breen de Immersive Labs dijo que esta vulnerabilidad también afecta a
las aplicaciones de Office 365 y Microsoft Office.
La compañía también instó a los administradores de Windows a prestar atención
a
CVE-2024-30044, una vulnerabilidad de ejecución remota de código de gravedad crítica en
Microsoft Sharepoint.
«Un atacante autenticado con permiso del propietario del sitio puede
utilizar la vulnerabilidad para inyectar código arbitrario y ejecutar este
código en el contexto de SharePoint Server», advirtió el centro de respuesta de seguridad de Redmond.
Microsoft afirma que el
CVE-2024-30051
también se reveló públicamente, pero no está claro dónde se hizo. Además,
Microsoft dice que también se reveló públicamente una falla de denegación de
servicio en Microsoft Visual Studio rastreada como
CVE-2024-30046.
Actualizaciones de otras compañías
-
Adobe has
released security updates
for After Effects, Photoshop, Commerce, InDesign, and more. -
Apple
backported an RTKit zero-day
to older devices and
fixed a Safari WebKit zero-day flaw
exploited at Pwn2Own. -
Cisco
released security updates
for its IP phone products. -
Citrix
urged Xencenter admins to manually fix
Putty flaw, which can be used to steal an admin’s private SSH key. -
F5 releases
security updates
for two high-severity BIG-IP Next Central Manager API flaws. -
Google
released an emergency update
to fix the sixth zero-day of 2024. -
TinyProxy
fixes a critical remote code execution flaw
that was disclosed by Cisco. -
VMware
fixes three zero-day bugs
exploited at Pwn2Own 2024.
Fuente:
BC