Las actualizaciones de software no son solo una tarea más en la lista de pendientes; son una línea de defensa crucial contra las crecientes amenazas de ciberseguridad. Para los equipos de TI y los expertos en seguridad, el Patch Tuesday de Microsoft es uno de los momentos clave del mes. Cada segundo martes, Microsoft lanza parches que corrigen vulnerabilidades detectadas en sus productos, incluyendo fallas que ya podrían estar siendo aprovechadas por atacantes.
Hoy es ese martes de parches de Microsoft de septiembre 2024, y trae consigo actualizaciones de seguridad para 79 fallas, incluidas cuatro vulnerabilidades de día cero que ya estaban siendo explotadas y una que había sido revelada públicamente. Este mes se han corregido siete vulnerabilidades críticas, las cuales permitían la ejecución remota de código o la elevación de privilegios.
A continuación, te mostramos el desglose de las vulnerabilidades por categoría:
Podría interesarte leer: Pentesting vs Análisis de Vulnerabilidades
El parche de este martes corrige cuatro vulnerabilidades que ya estaban siendo explotadas, y una de ellas fue revelada públicamente. Microsoft considera una vulnerabilidad de día cero cuando se hace pública o está siendo explotada activamente antes de que exista un parche oficial para solucionarla. Las cuatro vulnerabilidades de día cero activamente explotadas en la actualización de hoy son:
Esta vulnerabilidad permite que un atacante obtenga privilegios de sistema en dispositivos Windows, lo que les da un control total sobre el sistema. Sin embargo, Microsoft no ha dado muchos detalles sobre cómo se ha utilizado esta vulnerabilidad en los ataques.
Esta falla fue revelada públicamente el mes pasado y se cree que ha estado siendo explotada activamente desde 2018. En un informe, se explicó una técnica conocida como LNK stomping, que permite que archivos LNK especialmente diseñados eludan las advertencias de seguridad de Smart App Control y Mark of the Web (MOTW) en Windows.
Básicamente, esta técnica aprovecha rutas de destino o estructuras internas no estándar en archivos LNK (accesos directos), lo que permite que estos se abran sin activar las advertencias de seguridad habituales.
Según el aviso de Microsoft:
"Un atacante puede crear un archivo malicioso que evada las defensas de Mark of the Web (MOTW), lo que puede llevar a una pérdida limitada de integridad y disponibilidad de funciones de seguridad, como la verificación de reputación de aplicaciones SmartScreen o las advertencias de seguridad de los Servicios de Adjuntos de Windows."
Cuando esta vulnerabilidad es explotada, permite que el comando dentro del archivo LNK se ejecute sin que aparezca ninguna advertencia.
Podría interesarte leer: ¿Cómo Priorizar los Parches de Software Eficazmente?
Microsoft ha corregido una vulnerabilidad en Microsoft Publisher que permitía eludir las protecciones de seguridad contra macros incrustadas en documentos descargados. Esto significa que un atacante podría saltarse las políticas de seguridad que normalmente bloquean archivos no confiables o maliciosos.
En su aviso, Microsoft señala:
"Un atacante que explote con éxito esta vulnerabilidad podría eludir las políticas de macros de Office que se utilizan para bloquear archivos sospechosos o maliciosos."
Hasta el momento, Microsoft no ha compartido quién descubrió la vulnerabilidad ni cómo fue utilizada en ataques.
Microsoft también corrigió una vulnerabilidad crítica en la pila de servicio de Windows que permitía la ejecución remota de código. Esta falla afecta específicamente a Windows 10, versión 1507, también conocida como la primera versión lanzada en 2015. Aunque esta versión ya no tiene soporte general desde 2017, sigue siendo utilizada en algunas ediciones empresariales como Windows 10 Enterprise 2015 LTSB y Windows 10 IoT Enterprise 2015 LTSB, que aún reciben actualizaciones de seguridad.
Según el aviso de Microsoft:
"Microsoft ha identificado una vulnerabilidad en la pila de servicio que revirtió las correcciones para algunas fallas que afectaban a componentes opcionales en Windows 10, versión 1507."
Para obtener más detalles sobre esta falla y los componentes afectados, se puede consultar el aviso completo de Microsoft. Al igual que en el caso anterior, Microsoft no ha revelado quién descubrió esta vulnerabilidad ni cómo fue explotada en ataques.
A continuación, te dejamos un resumen de las principales vulnerabilidades corregidas en septiembre de 2024, clasificadas por gravedad:
Esta lista incluye vulnerabilidades que van desde la ejecución remota de código hasta la elevación de privilegios, muchas de las cuales tienen un impacto crítico o importante en la seguridad de los sistemas afectados.
El Patch Tuesday de Microsoft de septiembre 2024 marca otro hito importante en la continua lucha contra las amenazas cibernéticas. Con la corrección de 4 zero-days y 79 vulnerabilidades, Microsoft refuerza la importancia de mantener sus productos actualizados y seguros. Para las organizaciones, aplicar estas actualizaciones no es solo una tarea rutinaria, sino una estrategia fundamental para proteger sus activos y datos frente a ataques cibernéticos en constante evolución.