Microsoft ha lanzado la ronda mensual de actualizaciones de seguridad del martes de parches, con correcciones para un total de 90 vulnerabilidades en todo el ecosistema de Windows. De estas, la Centro de respuesta de seguridad de Microsoft advierte que ya se han confirmado cinco vulnerabilidades de Windows y se han producido ciberataques activos contra ellas. Estos problemas de seguridad de día cero son tan graves que la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos los ha añadido a la lista de vulnerabilidades de seguridad. Catálogo de vulnerabilidades explotadas conocidas con fecha de cumplimiento de actualización del 3 de septiembre.
Priorizar la aplicación de parches para vulnerabilidades para seguir el ritmo de la actividad de amenazas
Si bien la fecha límite de CISA del 3 de septiembre, o tres semanas después de que se agreguen las vulnerabilidades de día cero de Windows al catálogo KEV, se aplica a ciertas agencias del poder ejecutivo civil federal según la Directiva operativa vinculante del gobierno de los EE. UU. 22-01, eso no exime a todos los demás, incluido usted, del compromiso. CISA dijo que el catálogo KEV se publica para el beneficio de “la comunidad de ciberseguridad y los defensores de la red”, y para ayudar a “todas las organizaciones a gestionar mejor las vulnerabilidades y mantenerse al día con la actividad de amenazas”. En otras palabras, para reducir su exposición a ataques cibernéticos, todas las organizaciones, y los consumidores en ese sentido, deben prestar atención a la actualización de sus sistemas para mitigar las vulnerabilidades conocidas. Para la mayoría de los consumidores, eso simplemente significa asegurarse de que las últimas actualizaciones de seguridad del martes de parches se hayan aplicado en su totalidad, pero para las organizaciones que deben probar cualquier actualización antes de aplicarla a los sistemas en vivo, me atrevo a mencionar las pantallas azules de la muerte de CrowdStrike, significa tomar nota de las entradas de KEV como parte de su proceso de priorización de la gestión de parches.
Explicación de las cinco vulnerabilidades de día cero de Windows previstas para agosto de 2024
CVE-2024-38178 es una vulnerabilidad de corrupción de memoria del motor de scripts de Windows que podría permitir a un atacante iniciar la ejecución remota de código en el sistema afectado. Esta vulnerabilidad de día cero tiene una calificación de 7,6 y una gravedad de importante, y afecta a Windows 10, Windows 11, así como a Windows Server 2012 y versiones posteriores. “El atacante tendría que preparar el objetivo para que use Edge en modo Internet Explorer para ejecutar un archivo especialmente diseñado”, dijo Chris Goettl, vicepresidente de gestión de productos de seguridad de Ivanti. “Las pautas basadas en riesgos tratarían esta actualización como de mayor gravedad que importante y la remediarían lo antes posible”.
CVE-2024-38213 es una vulnerabilidad de elusión de la función de seguridad 'Mark of the Web' de Windows que podría permitir a un atacante eludir la protección del usuario SmartScreen en Windows 10, Windows 11, así como Windows Server 2012 y posteriores. “Esta función está diseñada como una capa adicional de defensa en profundidad al marcar los archivos que se descargan de Internet como no confiables”, dijo Kev Breen, director sénior de investigación de amenazas cibernéticas en Immersive Labs. “Esta vulnerabilidad no es explotable por sí sola”, advirtió Breen, “y generalmente se considera como parte de una cadena de explotación, por ejemplo, modificando un documento malicioso o un archivo exe para incluir esta omisión antes de enviar el archivo por correo electrónico o distribuirlo en sitios web comprometidos”.
CVE-2024-38193 es una vulnerabilidad de elevación de privilegios en el controlador de funciones auxiliares de Windows para WinSock, que afecta a Windows 10, Windows 11 y Windows Server 2008 y versiones posteriores. “La explotación exitosa se realiza a través de un error de administración de memoria de uso posterior a la liberación, y podría generar privilegios de SISTEMA”, dijo Adam Barnett, ingeniero de software principal de Rapid7. “El aviso no proporciona más pistas, pero con la explotación existente en la naturaleza, la baja complejidad del ataque, la falta de interacción del usuario involucrada y los bajos privilegios requeridos, esta es una vulnerabilidad que se debe parchear de inmediato para mantener a raya el malware”.
CVE-2024-38106 es una vulnerabilidad de elevación de privilegios del kernel de Windows que afecta a Windows 10, Windows 11 y Windows Server 2016 y versiones posteriores. “Esta vulnerabilidad surge cuando se almacenan datos confidenciales en una memoria que carece de la protección adecuada”, dijo Mike Walters, presidente y cofundador de Action1, “lo que permite a un atacante con pocos privilegios manipular el contenido de la memoria y escalar sus privilegios al nivel del SISTEMA”. La buena noticia es que existe un gran desafío para explotar esta vulnerabilidad, que es “la necesidad de explotar la condición de carrera con una sincronización precisa”, dijo Walters, “con el objetivo de obtener el control de la memoria antes de que se bloquee o se acceda a ella de forma segura”.
CVE-2024-38107 es una vulnerabilidad de elevación de privilegios de uso posterior a la liberación que afecta al coordinador de dependencias de energía de Windows. Afecta a Windows 10, Windows 11 y Windows 2012 o posterior, esta vulnerabilidad de día cero “ocurre cuando un programa continúa usando un puntero a la memoria después de que se haya liberado”, dijo Walters, “lo que potencialmente conduce a la ejecución de código arbitrario o al control del sistema”. Un atacante necesitaría acceso local a la máquina de destino, con privilegios bajos, pero las repercusiones de una explotación exitosa son significativas según Walters: “Este acceso elevado podría usarse para desactivar mecanismos de seguridad, implementar malware adicional o facilitar el movimiento lateral dentro de la red”.