Clicky

Microsoft publica parches para 90 fallas, incluidas 10 de día cero críticas

parches de Microsoft

La actualización también soluciona un fallo de escalada de privilegios

Microsoft envió el martes correcciones para abordar un total de 90 fallas de seguridad, incluidas 10 de día cero, de las cuales seis han sido explotadas activamente.

De los 90 errores, siete están clasificados como críticos, 79 como importantes y uno como de gravedad moderada. Esto se suma a las 36 vulnerabilidades que el gigante tecnológico resolvió en su navegador Edge desde el mes pasado.

Las actualizaciones del martes de parches se destacan por abordar seis vulnerabilidades de día cero explotadas activamente:

CVE-2024-38189 (puntuación CVSS: 8,8): vulnerabilidad de ejecución de código remoto en Microsoft Project
CVE-2024-38178 (puntuación CVSS: 7,5): vulnerabilidad de corrupción de memoria en Windows Scripting Engine
CVE-2024-38193 (puntuación CVSS: 7,8): vulnerabilidad de elevación de privilegios en el controlador de funciones auxiliares de Windows para WinSock
CVE-2024-38106 (puntuación CVSS: 7,0): vulnerabilidad de elevación de privilegios en el kernel de Windows
CVE-2024-38107 (puntuación CVSS: 7,8): vulnerabilidad de elevación de privilegios en el coordinador de dependencias de energía de Windows
CVE-2024-38213 (puntuación CVSS: 6,5): vulnerabilidad de omisión de la característica de seguridad Mark of the Web de Windows

CVE-2024-38213, que permite a los atacantes eludir las protecciones SmartScreen, requiere que un atacante envíe al usuario un archivo malicioso y lo convenza de abrirlo. A Peter Girnus de Trend Micro se le atribuye el descubrimiento y reporte de la falla, sugiriendo que podría ser una evasión para CVE-2024-21412 o CVE-2023-36025, que fueron explotadas previamente por los operadores del malware DarkGate.

El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) a agregar las fallas a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que obliga a las agencias federales a aplicar las correcciones antes del 3 de septiembre de 2024.

Windows update

Cuatro de los siguientes CVE se enumeran como de conocimiento público:

CVE-2024-38200 (puntuación CVSS: 7,5): vulnerabilidad de suplantación de Microsoft Office
CVE-2024-38199 (puntuación CVSS: 9,8): vulnerabilidad de ejecución remota de código del servicio LPD (Line Printer Daemon) de Windows
CVE-2024-21302 (puntuación CVSS: 6,7): vulnerabilidad de elevación de privilegios en el modo de kernel seguro de Windows
CVE-2024-38202 (puntuación CVSS: 7,3): vulnerabilidad de elevación de privilegios en la pila de actualizaciones de Windows

"Un atacante podría aprovechar esta vulnerabilidad para incitar a una víctima a acceder a un archivo especialmente diseñado, probablemente a través de un correo electrónico de phishing", dijo Scott Caveza, ingeniero de investigación de Tenable, sobre CVE-2024-38200.

"La explotación exitosa de la vulnerabilidad podría provocar que la víctima exponga los hashes de New Technology Lan Manager (NTLM) a un atacante remoto. Los hashes NTLM podrían usarse de forma indebida en ataques de retransmisión NTLM o de paso de hash para favorecer la presencia de un atacante en una organización".

La actualización también soluciona un fallo de escalada de privilegios en el componente Print Spooler (CVE-2024-38198, puntuación CVSS: 7,8), que permite a un atacante obtener privilegios de SISTEMA. "Para explotar con éxito esta vulnerabilidad, es necesario que un atacante supere una condición de carrera", afirmó Microsoft.

Dicho esto, Microsoft aún no ha lanzado actualizaciones para CVE-2024-38202 y CVE-2024-21302, que podrían usarse para realizar ataques de degradación contra la arquitectura de actualización de Windows y reemplazar las versiones actuales de los archivos del sistema operativo con versiones anteriores.

La divulgación sigue a un informe de Fortra sobre una falla de denegación de servicio (DoS) en el controlador del Sistema de archivos de registro común (CLFS) (CVE-2024-6768, puntuación CVSS: 6.8) que podría causar un bloqueo del sistema, resultando en una pantalla azul de la muertepantalla azul de la muerte (BSoD).

Cuando se le solicitó un comentario, un portavoz de Microsoft dijo que el problema "no cumple con los requisitos para un servicio inmediato según nuestras pautas de clasificación de gravedad y lo consideraremos para una futura actualización del producto".

"La técnica descrita requiere que un atacante ya haya obtenido capacidades de ejecución de código en la máquina de destino y no otorga permisos elevados. Alentamos a los clientes a practicar buenos hábitos informáticos en línea, incluyendo tener cuidado al ejecutar programas que no son reconocidos por el usuario", agregó el portavoz.

Jesus_Caceres