Hoy es el Patch Tuesday de octubre de 2024 de Microsoft, y trae consigo actualizaciones de seguridad que abordan 118 vulnerabilidades, incluidas cinco de tipo zero-day que ya han sido reveladas públicamente, y de las cuales tres están siendo explotadas activamente por atacantes.
En esta ronda de actualizaciones, Microsoft ha corregido tres vulnerabilidades críticas, todas relacionadas con ejecución remota de código (RCE), que son particularmente peligrosas porque permiten a los atacantes ejecutar código malicioso en un sistema vulnerable desde la distancia.
A continuación, te mostramos el desglose de los errores por cada categoría de vulnerabilidad:
- 28 Vulnerabilidades de elevación de privilegios.
- 7 Vulnerabilidades de omisión de funciones de seguridad.
- 43 Vulnerabilidades de ejecución remota de código.
- 6 Vulnerabilidades en la divulgación de información.
- 26 Vulnerabilidades de denegación de servicio.
- 7 Vulnerabilidades de suplantación de identidad.
Cabe mencionar que este recuento no incluye las tres fallas de Edge que se solucionaron anteriormente, el pasado 3 de octubre.
Se Descubren Ataques de Día Cero
El parche de seguridad de este mes de Microsoft soluciona cinco vulnerabilidades de día cero, de las cuales tres ya han sido activamente explotadas en ataques. Todas las vulnerabilidades fueron divulgadas públicamente. Microsoft define una vulnerabilidad de día cero como aquella que es conocida o utilizada antes de que exista una solución oficial. Las vulnerabilidades que han sido explotadas activamente son:
CVE-2024-43573: Vulnerabilidad de suplantación en la plataforma MSHTML de Windows
Aunque Microsoft no ha dado muchos detalles sobre este fallo o cómo se está explotando, ha mencionado que afecta a la plataforma MSHTML, que en su día fue utilizada por Internet Explorer y la antigua versión de Microsoft Edge, y que aún sigue presente en Windows.
"Internet Explorer 11 ya no se usa en ciertas plataformas, y la versión antigua de Microsoft Edge está obsoleta, pero las plataformas MSHTML, EdgeHTML y de scripting aún reciben soporte", explicó Microsoft.
"La plataforma MSHTML sigue utilizándose en el modo Internet Explorer de Microsoft Edge y por otras aplicaciones a través del control WebBrowser. Por otro lado, EdgeHTML es usada por WebView y algunas aplicaciones UWP, mientras que las plataformas de scripting son utilizadas tanto por MSHTML como por EdgeHTML, además de otras aplicaciones más antiguas".
Aunque no se ha confirmado, esta vulnerabilidad podría ser una evolución de una anterior que permitía falsificar las extensiones de archivo al mostrar alertas cuando se abrían archivos. El mes pasado, se reveló una falla similar en MSHTML, en la que se usaban caracteres Braille en los nombres de archivo para hacer pasar documentos maliciosos como PDFs. Conoce más sobre esta vulnerabilidad CVE-2024-43573.
CVE-2024-43572: Vulnerabilidad de ejecución remota de código en Microsoft Management Console
Esta vulnerabilidad permitía que archivos maliciosos de Microsoft Saved Console (MSC) ejecutaran código de manera remota en dispositivos vulnerables. Microsoft solucionó el problema al evitar que los archivos MSC no confiables se abran.
"La actualización de seguridad bloqueará la apertura de archivos MSC no confiables para proteger a los usuarios de los riesgos asociados con esta vulnerabilidad", explicó Microsoft. Aún no está claro cómo se explotó esta falla en los ataques, pero se sabe que fue descubierta por "Andrés y Shady", según informó Microsoft, y fue revelada públicamente. Conoce más sobre esta vulnerabilidad CVE-2024-43572.
Podría interesarte leer: Administración Automatizada de Parches con TecnetProtect
Otras tres vulnerabilidades reveladas públicamente, pero no explotadas
Entre las vulnerabilidades que fueron reveladas pero no se sabe que hayan sido explotadas, está la CVE-2024-6197, una vulnerabilidad de ejecución remota de código en Curl, una herramienta de código abierto.
Microsoft corrigió este fallo en la biblioteca libcurl, que podía permitir la ejecución de comandos cuando Curl intentaba conectarse a un servidor malicioso. "El código vulnerable puede activarse mediante un servidor que ofrece un certificado TLS especialmente diseñado", señala un aviso de seguridad de Curl.
Microsoft actualizó la biblioteca libcurl utilizada por el ejecutable Curl incluido con Windows para solucionar esta vulnerabilidad.
CVE-2024-20659: Vulnerabilidad en la omisión de funciones de seguridad de Windows Hyper-V
Microsoft ha corregido una vulnerabilidad que afectaba a UEFI y que podría permitir a los atacantes comprometer el hipervisor y el núcleo de seguridad del sistema.
"Esta vulnerabilidad afecta al hipervisor en máquinas virtuales que utilizan una interfaz de firmware extensible unificada (UEFI)", explicó Microsoft.
"En ciertos dispositivos, podría ser posible eludir UEFI, lo que dejaría expuesto el hipervisor y el núcleo del sistema". Sin embargo, para aprovechar esta falla, el atacante necesitaría acceso físico al dispositivo y reiniciarlo. Conoce más sobre esta vulnerabilidad CVE-2024-20659.
CVE-2024-43583: Vulnerabilidad de elevación de privilegios en Winlogon
Microsoft también solucionó una vulnerabilidad en Winlogon que permitía a los atacantes elevar sus privilegios al nivel de SISTEMA en Windows.
Para protegerse, Microsoft recomienda a los administradores tomar medidas adicionales. "Para corregir esta vulnerabilidad, asegúrese de tener habilitado un IME (Input Method Editor) de Microsoft en su dispositivo", dice Microsoft.
"Esto puede ayudar a evitar posibles vulnerabilidades asociadas con IME de terceros durante el proceso de inicio de sesión". Conoce más sobre esta vulnerabilidad CVE-2024-43583.
Actualizaciones de seguridad del parche del martes de octubre de 2024
Aquí tienes un resumen más detallado de las vulnerabilidades corregidas en el parche de seguridad de octubre de 2024:
.NET y Visual Studio:
- Se abordaron varias vulnerabilidades, como la CVE-2024-38229, una vulnerabilidad de ejecución remota de código en .NET y Visual Studio, considerada importante. También se solucionaron problemas de denegación de servicio (CVE-2024-43485, CVE-2024-43484, CVE-2024-43483) que podrían afectar la estabilidad de estas plataformas.
Azure:
- CLI de Azure (CVE-2024-43591) y Azure Monitor (CVE-2024-38097) presentaban vulnerabilidades de elevación de privilegios que ya fueron corregidas.
- También se resolvieron fallas en Azure Stack HCI (CVE-2024-38179), relacionadas con la infraestructura hiperconvergente, lo que permitía a atacantes obtener mayores privilegios en los sistemas afectados.
BranchCache:
- Se corrigieron dos vulnerabilidades de denegación de servicio (CVE-2024-43506 y CVE-2024-38149) en BranchCache, una característica que mejora el rendimiento de las redes corporativas.
Microsoft Office:
- Se resolvieron varias vulnerabilidades críticas, incluyendo la CVE-2024-43616 y la CVE-2024-43576, ambas relacionadas con la ejecución remota de código en Microsoft Office. Estas vulnerabilidades podrían haber permitido a los atacantes ejecutar código malicioso en los sistemas a través de documentos de Office infectados.
- También se abordaron vulnerabilidades de suplantación de identidad (CVE-2024-43609) en Office, y fallas en aplicaciones específicas como Excel (CVE-2024-43504), SharePoint (CVE-2024-43503) y Visio (CVE-2024-43505).
Windows Hyper-V:
- Se corrigieron múltiples vulnerabilidades, incluyendo una omisión de funciones de seguridad en Hyper-V (CVE-2024-20659) y varios problemas de denegación de servicio (CVE-2024-43567, CVE-2024-43575).
Microsoft Management Console:
- La vulnerabilidad CVE-2024-43572 permitía la ejecución remota de código, y se resolvió evitando que archivos maliciosos puedan comprometer el sistema.
Microsoft Defender:
- Se abordó una vulnerabilidad de suplantación en Microsoft Defender for Endpoint for Linux (CVE-2024-43614), que podría haber permitido a atacantes falsificar la identidad de usuarios o servicios.
Componentes gráficos de Windows:
- Se corrigieron vulnerabilidades de divulgación de información (CVE-2024-43534 y CVE-2024-43508) y de elevación de privilegios (CVE-2024-43556, CVE-2024-43509) en los componentes gráficos de Windows.
Remote Desktop (Escritorio Remoto):
- Dos vulnerabilidades críticas de ejecución remota de código (CVE-2024-43533 y CVE-2024-43599) fueron solucionadas en el cliente de escritorio remoto de Windows, que podrían haber permitido a atacantes ejecutar código malicioso en las máquinas afectadas.
Remote Access and Routing Service (RRAS):
- Se corrigieron múltiples vulnerabilidades de ejecución remota de código (como la CVE-2024-43592 y la CVE-2024-43589) en el servicio de enrutamiento y acceso remoto de Windows, utilizado en redes corporativas para administrar conexiones remotas.
Microsoft Edge (basado en Chromium):
- Se abordaron varias vulnerabilidades relacionadas con la validación insuficiente de datos y la ejecución inadecuada en componentes como Mojo (CVE-2024-9369), V8 (CVE-2024-9370), y el diseño del navegador (CVE-2024-7025).
OpenSSH para Windows:
- Se solucionaron múltiples vulnerabilidades de ejecución remota de código (CVE-2024-43581, CVE-2024-38029), que afectaban a OpenSSH, la implementación de Windows para conexiones seguras.
Kernel de Windows:
- Se corrigieron vulnerabilidades de elevación de privilegios (CVE-2024-43502, CVE-2024-43511) en el núcleo de Windows que podrían haber permitido a atacantes obtener control total sobre el sistema afectado.
Conclusión
El Patch Tuesday de octubre 2024 nos recuerda lo rápido que avanzan las ciberamenazas y lo peligrosas que se están volviendo. Con cinco vulnerabilidades zero-day corregidas en esta actualización, está claro lo importante que es mantenerse siempre un paso adelante en temas de seguridad. Este martes de parche resuelve un total de más de 70 vulnerabilidades en múltiples productos de Microsoft, abordando problemas críticos y de alta prioridad, como la ejecución remota de código, la elevación de privilegios, la denegación de servicio y la suplantación de identidad.