Microsoft ha lanzado una serie de parches para abordar un total de 73 vulnerabilidades de seguridad en su gama de software como parte de sus actualizaciones del Patch Tuesday correspondiente a febrero de 2024. Entre estas vulnerabilidades se incluyen dos zero-days que han sido objeto de explotación activa.
De las 73 vulnerabilidades identificadas, 5 han sido clasificadas como críticas, 65 como graves y 3 como leves. Estas correcciones se suman a las 24 fallas que han sido resueltas en el navegador Edge basado en Chromium desde la última ronda de actualizaciones del Patch Tuesday el 24 de enero.
Las dos vulnerabilidades que están siendo objeto de ataques activos en el momento del lanzamiento de los parches son las siguientes:
- CVE-2024-21351 (puntuación CVSS: 7.6) – Vulnerabilidad de Bypass de la Función de Seguridad SmartScreen de Windows.
- CVE-2024-21412 (puntuación CVSS: 8.1) – Vulnerabilidad de Bypass de la Función de Seguridad de Archivos de Acceso Directo a Internet.
«la vulnerabilidad permite a un actor malintencionado inyectar código en SmartScreen y potencialmente obtener ejecución de código, lo que podría conducir a una exposición de datos, falta de disponibilidad del sistema o ambas cosas».
Expone Microsoft.
Por otro lado, la explotación exitosa de la vulnerabilidad CVE-2024-21412 podría permitir a un atacante eludir las protecciones de SmartScreen y ejecutar código arbitrario. Sin embargo, para que el ataque funcione, el actor de amenazas debe enviar al usuario un archivo malicioso y convencerlo de abrirlo.
En cuanto al historial de vulnerabilidades en SmartScreen, CVE-2024-21351 es el segundo error de bypass descubierto después de CVE-2023-36025, solucionado por Microsoft en noviembre de 2023. Desde entonces, múltiples grupos maliciosos han aprovechado esta vulnerabilidades para distribuir malware como DarkGate, Phemedrone Stealer y Mispadu.
Trend Micro ha detallado una campaña de ataque dirigida por Water Hydra (también conocido como DarkCasino), que aprovecha CVE-2024-21412. Esta campaña está dirigida a traders del mercado financiero mediante una sofisticada cadena de ataque zero-day. Water Hydra, detectado por primera vez en 2021, tiene un historial de lanzar ataques contra diversas entidades financieras y de apuestas utilizando exploits zero-day.
Ambas vulnerabilidades han sido añadidas al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), instando a las agencias federales a aplicar las últimas actualizaciones antes del 5 de marzo de 2024.
Además de estas dos vulnerabilidades, Microsoft también ha parcheado cinco fallas críticas, incluyendo:
- CVE-2024-20684 (puntuación CVSS: 6.5) – Vulnerabilidad de Denegación de Servicio de Windows Hyper-V.
- CVE-2024-21357 (puntuación CVSS: 7.5) – Vulnerabilidad de Ejecución Remota de Código de Pragmatic General Multicast (PGM) de Windows.
- CVE-2024-21380 (puntuación CVSS: 8.0) – Vulnerabilidad de Divulgación de Información de Microsoft Dynamics Business Central/NAV.
- CVE-2024-21410 (puntuación CVSS: 9.8) – Vulnerabilidad de Elevación de Privilegios de Microsoft Exchange Server.
- CVE-2024-21413 (puntuación CVSS: 9.8) – Vulnerabilidad de Ejecución Remota de Código de Microsoft Outlook.
«CVE-2024-21410 es una vulnerabilidad de elevación de privilegios en Microsoft Exchange Server. Según Microsoft, esta falla es más probable que sea explotada por atacantes».
Revela Satnam Narang, ingeniero senior de investigación de Tenable
La actualización de seguridad también aborda 15 vulnerabilidades de ejecución remota de código en el proveedor OLE DB de WDAC de Microsoft para SQL Server, así como CVE-2023-50387, una vulnerabilidad de diseño de 24 años en la especificación de DNSSEC bautizada como KeyTrap por el Centro Nacional de Investigación para la Ciberseguridad Aplicada (ATHENE) en Darmstadt. Esta vulnerabilidad puede ser usada para agotar los recursos de la CPU y detener las DNS, lo que conllevaría en una denegación de servicio (DoS).
Más información:
- https://msrc.microsoft.com/update-guide/releaseNote/2024-Feb
- https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security
- https://learn.microsoft.com/en-us/windows/security/operating-system-security/virus-and-threat-protection/microsoft-defender-smartscreen/
- https://www.trendmicro.com/en_us/research/24/b/cve202421412-water-hydra-targets-traders-with-windows-defender-s.html
- https://www.cisa.gov/news-events/alerts/2024/02/13/cisa-adds-two-known-exploited-vulnerabilities-catalog
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://www.presseportal.de/pm/173495/5713546
La entrada Patch Tuesday de Febrero: Microsoft resuelve 73 vulnerabilidades, incluyendo dos zero-days se publicó primero en Una al Día.