Los administradores de TI y los equipos de seguridad que esperaban un verano tranquilo quedaron decepcionados después de que Microsoft parchó seis vulnerabilidades de día cero explotadas activamente y cuatro problemas adicionales que se hicieron públicos, en su última actualización del martes de parches.
También en el punto de mira de los actores maliciosos este mes hay nada menos que nueve fallas, dos de ellas problemas de terceros provenientes de Red Hat, que tienen calificaciones de gravedad críticas.
Ninguna de estas fallas críticas figura en la lista de días cero, pero, en medio de una de las actualizaciones más importantes del martes de parches en lo que va del año, que comprende más de 100 correcciones una vez que se tienen en cuenta los problemas de terceros, sin duda ocuparán mucho tiempo. los próximos días.
“Microsoft tiene evidencia de explotación salvaje… o divulgación pública de 10 de las vulnerabilidades publicadas hoy, lo cual es significativamente más de lo habitual”, dijo el ingeniero de software líder de Rapid7, Adam Barnett.
“En el momento de escribir este artículo, las seis vulnerabilidades explotadas conocidas parcheadas hoy se enumeran en [the] CISA KEV [database]. Microsoft también está parcheando cinco vulnerabilidades críticas de ejecución remota de código (RCE).
“Los observadores del martes de parches sabrán que el botín de hoy de cuatro vulnerabilidades divulgadas públicamente y seis vulnerabilidades más explotadas en estado salvaje es un lote mucho mayor de lo habitual”, dijo.
Barnett añadió: “Como una especie de rama de olivo para los defensores que ahora pueden estar mirando con preocupación su lista de tareas pendientes, Microsoft no ha publicado ninguna vulnerabilidad de SharePoint o Exchange este mes”.
Los seis días cero, para los cuales aún no circula ningún código público de explotación, comprenden los siguientes errores:
- CVE-2024-38106, una vulnerabilidad de elevación de privilegios (EoP) en el kernel de Windows;
- CVE-2024-38107, una vulnerabilidad EoP en Windows Power Dependency Coordinator;
- CVE-2024-38178, una vulnerabilidad de ejecución remota de código en Scripting Engine;
- CVE-2024-38189, una vulnerabilidad RCE en Microsoft Project;
- CVE-2024-38193, una vulnerabilidad EoP en el controlador de funciones auxiliares de Windows para WinSock;
- CVE-2024-38213, una característica de seguridad que evita la vulnerabilidad en Windows Mark-of-the-Web.
La buena noticia, como se apresuró a observar Chris Goettl, vicepresidente de productos de seguridad de Ivanti, es que la actualización del sistema operativo Windows y Office “eliminará la mayor parte del riesgo con bastante rapidez”.
Al aplicar la regla a la lista de días cero, Goettl dijo que CVE-2024-38189 probablemente sea la más impactante, ya que permite a un atacante diseñar socialmente su camino para ejecutar código arbitrario en el sistema de su víctima. Pero, añadió, había factores atenuantes, como políticas para bloquear la ejecución de macros en archivos de Office desde Internet y configuraciones de notificación de macros de VBA.
“Si se habilitan, el ataque podría frustrarse. En algún lugar, estas configuraciones de políticas obviamente estaban deshabilitadas, lo que permitía a un atacante explotar el CVE en la naturaleza. La orientación basada en riesgos sería actualizar las instalaciones de Office este mes. Si tiene control limitado sobre la configuración de la política de mitigación o tiene un BYOD abierto [bring your own device] Entonces actualizar Office podría ser más urgente para reducir su exposición”, dijo.
Para CVE-2024-38107, Goettl observó que aunque el exploit requiere que un atacante gane una condición de carrera, dado que ya se ha detectado en ataques, esto no debería ser motivo para posponer su reparación.
Instó a los usuarios a considerar la orientación basada en riesgos y tratar esta actualización como de mayor gravedad de lo que Microsoft dice, y agregó que lo mismo se aplica a los otros cuatro días cero enumerados.
Los defectos que se han hecho públicos, pero que aún no se consideran explotados en la naturaleza, son los siguientes:
Al revisar estos cuatro problemas, Scott Caveza, ingeniero de investigación de Tenable, dijo que CVE-2024-38202 y CVE-2024-21302 merecían especial atención.
“Ambos [these] fueron revelados por el investigador de SafeBreach Labs, Alon Leviev. Si se encadenan, un atacante podría degradar o revertir las actualizaciones de software sin la necesidad de interacción de una víctima con privilegios elevados”, dijo Caveza.
“Como resultado, los esfuerzos de remediación anteriores esencialmente se borran, ya que los dispositivos de destino podrían volverse susceptibles a vulnerabilidades parcheadas previamente, aumentando así la superficie de ataque del dispositivo”.
CVE-2024-38200 también merece mucha atención, dijo Caveza. “Un atacante podría aprovechar esta vulnerabilidad incitando a la víctima a acceder a un archivo especialmente diseñado, probablemente a través de un correo electrónico de phishing. La explotación exitosa de la vulnerabilidad podría resultar en que la víctima exponga los hashes de New Technology Lan Manager (NTLM) a un atacante remoto”, explicó.
“Se podría abusar de los hashes NTLM en ataques de retransmisión NTLM o de paso de hash para ampliar la presencia de un atacante en una organización. Los ataques de retransmisión NTLM han sido observados por un actor de amenazas con sede en Rusia, APT28 [Fancy Bear]que aprovechó una vulnerabilidad similar para llevar a cabo ataques: CVE-2023-23397, una vulnerabilidad EoP en Microsoft Outlook parcheada en marzo de 2023”.