Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Microsoft Patch Tuesday Septiembre 2024

Escrito por Gustavo Sánchez | Sep 10, 2024 10:07:51 PM

Las actualizaciones de software no son solo una tarea más en la lista de pendientes; son una línea de defensa crucial contra las crecientes amenazas de ciberseguridad. Para los equipos de TI y los expertos en seguridad, el Patch Tuesday de Microsoft es uno de los momentos clave del mes. Cada segundo martes, Microsoft lanza parches que corrigen vulnerabilidades detectadas en sus productos, incluyendo fallas que ya podrían estar siendo aprovechadas por atacantes.

Hoy es ese martes de parches de Microsoft de septiembre 2024, y trae consigo actualizaciones de seguridad para 79 fallas, incluidas cuatro vulnerabilidades de día cero que ya estaban siendo explotadas y una que había sido revelada públicamente. Este mes se han corregido siete vulnerabilidades críticas, las cuales permitían la ejecución remota de código o la elevación de privilegios.

A continuación, te mostramos el desglose de las vulnerabilidades por categoría:

 

  • 30 vulnerabilidades de elevación de privilegios.
  • 4 vulnerabilidades de omisión de funciones de seguridad.
  • 23 vulnerabilidades de ejecución remota de código.
  • 11 vulnerabilidades en la divulgación de información.
  • 8 vulnerabilidades de denegación de servicio.
  • 3 vulnerabilidades de suplantación de identidad.

 

Podría interesarte leer:  Pentesting vs Análisis de Vulnerabilidades

 

Cuatro Ataques de Día Cero

 

El parche de este martes corrige cuatro vulnerabilidades que ya estaban siendo explotadas, y una de ellas fue revelada públicamente. Microsoft considera una vulnerabilidad de día cero cuando se hace pública o está siendo explotada activamente antes de que exista un parche oficial para solucionarla. Las cuatro vulnerabilidades de día cero activamente explotadas en la actualización de hoy son:

 

CVE-2024-38014: Vulnerabilidad de Elevación de Privilegios en Windows Installer

 

Esta vulnerabilidad permite que un atacante obtenga privilegios de sistema en dispositivos Windows, lo que les da un control total sobre el sistema. Sin embargo, Microsoft no ha dado muchos detalles sobre cómo se ha utilizado esta vulnerabilidad en los ataques.

 

CVE-2024-38217: Vulnerabilidad en la Omisión de la Función de Seguridad "Mark of the Web" (MOTW) de Windows

 

Esta falla fue revelada públicamente el mes pasado y se cree que ha estado siendo explotada activamente desde 2018. En un informe, se explicó una técnica conocida como LNK stomping, que permite que archivos LNK especialmente diseñados eludan las advertencias de seguridad de Smart App Control y Mark of the Web (MOTW) en Windows.

Básicamente, esta técnica aprovecha rutas de destino o estructuras internas no estándar en archivos LNK (accesos directos), lo que permite que estos se abran sin activar las advertencias de seguridad habituales.

Según el aviso de Microsoft:

"Un atacante puede crear un archivo malicioso que evada las defensas de Mark of the Web (MOTW), lo que puede llevar a una pérdida limitada de integridad y disponibilidad de funciones de seguridad, como la verificación de reputación de aplicaciones SmartScreen o las advertencias de seguridad de los Servicios de Adjuntos de Windows."

Cuando esta vulnerabilidad es explotada, permite que el comando dentro del archivo LNK se ejecute sin que aparezca ninguna advertencia.

 

 

Podría interesarte leer:  ¿Cómo Priorizar los Parches de Software Eficazmente?

 

CVE-2024-38226: Vulnerabilidad en la Omisión de Funciones de Seguridad de Microsoft Publisher

 

Microsoft ha corregido una vulnerabilidad en Microsoft Publisher que permitía eludir las protecciones de seguridad contra macros incrustadas en documentos descargados. Esto significa que un atacante podría saltarse las políticas de seguridad que normalmente bloquean archivos no confiables o maliciosos.

En su aviso, Microsoft señala:

"Un atacante que explote con éxito esta vulnerabilidad podría eludir las políticas de macros de Office que se utilizan para bloquear archivos sospechosos o maliciosos."

Hasta el momento, Microsoft no ha compartido quién descubrió la vulnerabilidad ni cómo fue utilizada en ataques.

 

CVE-2024-43491: Vulnerabilidad de Ejecución Remota de Código en Microsoft Windows Update

 

Microsoft también corrigió una vulnerabilidad crítica en la pila de servicio de Windows que permitía la ejecución remota de código. Esta falla afecta específicamente a Windows 10, versión 1507, también conocida como la primera versión lanzada en 2015. Aunque esta versión ya no tiene soporte general desde 2017, sigue siendo utilizada en algunas ediciones empresariales como Windows 10 Enterprise 2015 LTSB y Windows 10 IoT Enterprise 2015 LTSB, que aún reciben actualizaciones de seguridad.

Según el aviso de Microsoft:

"Microsoft ha identificado una vulnerabilidad en la pila de servicio que revirtió las correcciones para algunas fallas que afectaban a componentes opcionales en Windows 10, versión 1507."

Para obtener más detalles sobre esta falla y los componentes afectados, se puede consultar el aviso completo de Microsoft. Al igual que en el caso anterior, Microsoft no ha revelado quién descubrió esta vulnerabilidad ni cómo fue explotada en ataques.

 

Actualizaciones de seguridad del Patch Tuesday de septiembre de 2024

 

A continuación, te dejamos un resumen de las principales vulnerabilidades corregidas en septiembre de 2024, clasificadas por gravedad:

Azure


  1. CVE-2024-43469: Ejecución remota de código en CycleCloud - Importante
  2. CVE-2024-38188, CVE-2024-43470: Elevación de privilegios en Network Watcher - Importante
  3. CVE-2024-38216, CVE-2024-38220: Elevación de privilegios en Stack Hub - Crítica

Microsoft Office


  1. CVE-2024-43465: Elevación de privilegios en Excel - Importante
  2. CVE-2024-38226: Omisión de seguridad en Publisher - Importante
  3. CVE-2024-43464, CVE-2024-38018: Ejecución remota de código en SharePoint - Crítica
  4. CVE-2024-43463: Ejecución remota de código en Visio - Importante

Windows


  1. CVE-2024-38014: Elevación de privilegios en Windows Installer - Importante
  2. CVE-2024-38119: Ejecución remota de código en Network Address Translation (NAT) - Crítica
  3. CVE-2024-43491: Ejecución remota de código en Windows Update - Crítica

SQL Server


  1. CVE-2024-37338, CVE-2024-37339: Ejecución remota de código en Native Scoring - Importante
  2. CVE-2024-37341: Elevación de privilegios - Importante

Otros


  1. CVE-2024-43479: Ejecución remota de código en Power Automate Desktop - Importante
  2. CVE-2024-38245, CVE-2024-38241: Elevación de privilegios en Streaming Service - Importante

Esta lista incluye vulnerabilidades que van desde la ejecución remota de código hasta la elevación de privilegios, muchas de las cuales tienen un impacto crítico o importante en la seguridad de los sistemas afectados.

 

Conclusión

 

El Patch Tuesday de Microsoft de septiembre 2024 marca otro hito importante en la continua lucha contra las amenazas cibernéticas. Con la corrección de 4 zero-days y 79 vulnerabilidades, Microsoft refuerza la importancia de mantener sus productos actualizados y seguros. Para las organizaciones, aplicar estas actualizaciones no es solo una tarea rutinaria, sino una estrategia fundamental para proteger sus activos y datos frente a ataques cibernéticos en constante evolución.