Martes de parches – Microsoft corrige 4 días cero y 79 fallas

Iniciado por AXCESS, Septiembre 12, 2024, 11:46:13 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Martes de parches de septiembre de 2024 de Microsoft, que incluye actualizaciones de seguridad para 79 fallas, incluidas tres vulnerabilidades de día cero explotadas activamente y una divulgada públicamente.

Este martes de parches corrigió siete vulnerabilidades críticas, que eran fallas de ejecución remota de código o de elevación de privilegios.

A continuación, se muestra la cantidad de errores en cada categoría de vulnerabilidad:

30 vulnerabilidades de elevación de privilegios

4 vulnerabilidades de omisión de funciones de seguridad

23 vulnerabilidades de ejecución remota de código

11 vulnerabilidades de divulgación de información

8 vulnerabilidades de denegación de servicio

3 vulnerabilidades de suplantación de identidad

Se revelaron cuatro vulnerabilidades de día cero

El martes de parches de este mes corrige tres vulnerabilidades explotadas activamente, una de las cuales se reveló públicamente y otra que reintroduce CVE antiguas, por lo que está marcada como explotada.

Microsoft clasifica una falla de día cero como una que se divulga públicamente o se explota activamente mientras no hay una solución oficial disponible.

Las tres vulnerabilidades de día cero explotadas activamente en las actualizaciones d son:

CVE-2024-38014: vulnerabilidad de elevación de privilegios en Windows Installer


Esta vulnerabilidad permite a los ataques obtener privilegios de SYSTEM en sistemas Windows.

Microsoft no ha compartido ningún detalle sobre cómo se explotó en los ataques.

La falla fue descubierta por Michael Baer de SEC Consult Vulnerability Lab.

CVE-2024-38217: vulnerabilidad de omisión de la característica de seguridad Mark of the Web de Windows

Esta falla fue divulgada públicamente el mes pasado por Joe Desimone de Elastic Security y se cree que ha sido explotada activamente desde 2018.

En el informe, Desimone describió una técnica llamada LNK stomping que permite que los archivos LNK especialmente diseñados con rutas de destino o estructuras internas no estándar hagan que el archivo se abra mientras se omiten las advertencias de seguridad de Smart App Control y Mark of the Web.

"Un atacante puede crear un archivo malicioso que eluda las defensas de Mark of the Web (MOTW), lo que provocaría una pérdida limitada de integridad y disponibilidad de funciones de seguridad como la comprobación de seguridad de reputación de aplicaciones SmartScreen o el aviso de seguridad de Windows Attachment Services", explica el aviso de Microsoft.

Cuando se explota, hace que el comando en el archivo LNK se ejecute sin advertencia, como se muestra en este video:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

CVE-2024-38226 - Vulnerabilidad de omisión de la característica de seguridad de Microsoft Publisher


Microsoft corrigió una falla de Microsoft Publisher que omite las protecciones de seguridad contra macros incrustadas en documentos descargados.

"Un atacante que explotara con éxito esta vulnerabilidad podría omitir las políticas de macros de Office utilizadas para bloquear archivos no confiables o maliciosos", explica el aviso de Microsoft.

Microsoft no ha compartido quién reveló la falla y cómo se explotó.

Microsoft también corrigió un día cero que está marcado como explotado, pero se hizo así para que pueda reintroducir fallas explotadas más antiguas, como se explica a continuación.

CVE-2024-43491 - Vulnerabilidad de ejecución de código remoto de Microsoft Windows Update

Microsoft corrigió una falla de la pila de servicio que está marcada como ejecución de código remoto, pero en realidad reintroduce una variedad de vulnerabilidades en programas parcheados previamente.

"Microsoft está al tanto de una vulnerabilidad en Servicing Stack que ha revertido las correcciones de algunas vulnerabilidades que afectan a los componentes opcionales en Windows 10, versión 1507 (versión inicial publicada en julio de 2015)", explica el aviso de Microsoft.

"Esto significa que un atacante podría explotar estas vulnerabilidades mitigadas anteriormente en sistemas Windows 10, versión 1507 (Windows 10 Enterprise 2015 LTSB y Windows 10 IoT Enterprise 2015 LTSB) que hayan instalado la actualización de seguridad de Windows publicada el 12 de marzo de 2024 (KB5035858 [compilación del SO 10240.20526]) u otras actualizaciones publicadas hasta agosto de 2024. Todas las versiones posteriores de Windows 10 no se ven afectadas por esta vulnerabilidad".

"Esta vulnerabilidad de la pila de servicios se soluciona instalando la actualización de la pila de servicios de septiembre de 2024 (SSU KB5043936) Y la actualización de seguridad de Windows de septiembre de 2024 (KB5043083), en ese orden".

Esta falla solo afecta a Windows 10, versión 1507, que llegó al final de su vida útil en 2017. Sin embargo, también afecta a las ediciones Windows 10 Enterprise 2015 LTSB y Windows 10 IoT Enterprise 2015 LTSB, que aún reciben soporte.

Esta falla es interesante porque provocó que los componentes opcionales, como Active Directory Lightweight Directory Services, XPS Viewer, Internet Explorer 11, LPD Print Service, IIS y Windows Media Player, volvieran a sus versiones RTM originales.

Esto provocó que cualquier CVE anterior se volviera a introducir en el programa, que luego podría explotarse.

Microsoft marcó esta falla como explotada porque reintrodujo vulnerabilidades que se han explotado activamente en el pasado. Sin embargo, Microsoft afirma que la falla fue descubierta internamente por Microsoft y que no ha visto evidencia de que sea de conocimiento público por otros.

Puede encontrar más detalles sobre la falla y la lista completa de componentes afectados en el aviso de Microsoft:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Actualizaciones recientes de otras empresas

Otros proveedores que publicaron actualizaciones o avisos en septiembre de 2024 incluyen:

Apache corrige una vulnerabilidad crítica de ejecución remota de código de OFBiz que era una forma de evitar fallas previamente corregidas.

Cisco corrigió múltiples vulnerabilidades este mes, incluida una cuenta de administrador de puerta trasera en Smart Licensing Utility y una vulnerabilidad de inyección de comandos en ISE.

El ataque de Eucleak extrae claves secretas de ECDSA para clonar dispositivos YubiKey FIDO.

Fortinet publicó actualizaciones de seguridad para fallas en Fortisandbox y FortiAnalyzer & FortiManager.

Google incorporó una solución para una falla de elevación de privilegios de Pixel explotada activamente a otros dispositivos Android.

Ivanti publica actualizaciones de seguridad para la omisión crítica de autenticación vTM con un exploit público.

El complemento LiteSpeed Cache para Wordpress corrige un problema de apropiación de cuentas no autenticadas.

Una falla de control de acceso de SonicWall corregida el mes pasado ahora se explota en ataques de ransomware. Veeam corrige una vulnerabilidad crítica de RCE en el software de Backup & Replication

Zyxel advirtió sobre una falla crítica de inyección de comandos del sistema operativo en sus enrutadores.

Actualizaciones de seguridad del martes de parches de septiembre de 2024

A continuación, se incluye la lista completa de vulnerabilidades resueltas en las actualizaciones del martes de parches de septiembre de 2024.

Para acceder a la descripción completa de cada vulnerabilidad y los sistemas a los que afecta, puede ver el informe completo a continuación:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente
;
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta