1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Parche Gordo Edición del martes de Febrero de 2024

Parche Gordo Edición del martes de Febrero de 2024

Microsoft Corp. hoy empujó actualizaciones de software para tapar más de 70 agujeros de seguridad en su Ventanas sistemas operativos y productos relacionados, incluidas dos vulnerabilidades de día cero que ya están siendo explotadas en ataques activos.

La cima del montón en este Parche Gordo El martes es CVE-2024-21412, una "omisión de la función de seguridad" en la forma en que Windows maneja los archivos de acceso directo a Internet que Microsoft dice que está siendo blanco de exploits activos. El aviso de Redmond para este error dice que un atacante necesitaría convencer o engañar a un usuario para que abra un archivo de acceso directo malicioso.

Investigadores en Trend Micro han vinculado la explotación continua de CVE-2024-21412 a un grupo de amenazas persistentes avanzadas denominado "Hidra de Agua, "que dicen que ha estado utilizando la vulnerabilidad para ejecutar un archivo malicioso de Microsoft Installer (.msi) que a su vez descarga un troyano de acceso remoto (RAT) en los sistemas Windows infectados.

El otro defecto de día cero es CVE-2024-21351, otra omisión de la función de seguridad, esta en el built-in Pantalla inteligente de Windows componente que intenta detectar archivos potencialmente maliciosos descargados de la Web. Kevin Breen en Laboratorios Inmersivos dice que es importante tener en cuenta que esta vulnerabilidad por sí sola no es suficiente para que un atacante comprometa la estación de trabajo de un usuario y, en cambio, probablemente se usaría junto con algo como un ataque de phishing que entrega un archivo malicioso.

Satnam Narang, ingeniero senior de investigación del personal en Sostenible, dijo que esta es la quinta vulnerabilidad en Windows SmartScreen parcheada desde 2022 y que las cinco han sido explotadas en la naturaleza como días cero. Incluyen CVE-2022-44698 en diciembre de 2022, CVE-2023-24880 en marzo de 2023, CVE-2023-32049 en julio de 2023 y CVE-2023-36025 en noviembre de 2023.

Narang llamó la atención especial a CVE-2024-21410, un error de" elevación de privilegios " en Servidor de Microsoft Exchange eso, según Microsoft, es probable que sea explotado por atacantes. Los ataques a esta falla conducirían a la divulgación de hashes NTLM, que podrían aprovecharse como parte de un relé NTLM o un ataque de "pasar el hash", que permite a un atacante hacerse pasar por un usuario legítimo sin tener que iniciar sesión.

"Sabemos que las fallas que pueden revelar información confidencial como los hashes NTLM son muy valiosas para los atacantes", dijo Narang. "Un actor de amenazas con sede en Rusia aprovechó una vulnerabilidad similar para llevar a cabo ataques: CVE-2023 – 23397 es una vulnerabilidad de Elevación de privilegios en Microsoft Outlook parcheada en marzo de 2023.”

Microsoft señala que, antes de su actualización acumulativa 14 (CU14) de Exchange Server 2019, una característica de seguridad llamada Protección Extendida para la Autenticación (EPA), que proporciona protecciones de retransmisión de credenciales NTLM, no estaba habilitada de forma predeterminada.

"En el futuro, CU14 habilita esto de forma predeterminada en los servidores Exchange, por lo que es importante actualizar", dijo Narang.

Ingeniero de software líder de Rapid7 Adam Barnett destacado CVE-2024-21413, un error crítico de ejecución remota de código en Oficina de Microsoft eso podría explotarse simplemente viendo un mensaje especialmente diseñado en el panel de vista previa de Outlook.

"Microsoft Office generalmente protege a los usuarios de una variedad de ataques al abrir archivos con Mark of the Web en Vista Protegida, lo que significa que Office procesará el documento sin buscar recursos externos potencialmente maliciosos", dijo Barnett. "CVE-2024-21413 es una vulnerabilidad crítica de RCE en Office que permite a un atacante hacer que un archivo se abra en modo de edición como si el usuario hubiera aceptado confiar en el archivo.”

Barnett enfatizó que los administradores responsables de las instalaciones de Office 2016 que apliquen parches fuera de Microsoft Update deben tener en cuenta las listas de avisos de no menos de cinco parches separados que deben instalarse para lograr la corrección de CVE-2024-21413; los artículos individuales de update knowledge base (KB) señalan además que se bloqueará el inicio de las instalaciones de Office parcialmente parcheadas hasta que se haya instalado la combinación correcta de parches.

Es una buena idea que los usuarios finales de Windows se mantengan actualizados con las actualizaciones de seguridad de Microsoft, que de lo contrario pueden acumularse rápidamente. Eso no significa que tengas que instalarlos el Martes de parches. De hecho, esperar uno o tres días antes de actualizar es una respuesta sensata, dado que a veces las actualizaciones salen mal y, por lo general, en unos pocos días Microsoft ha solucionado cualquier problema con sus parches. También es inteligente hacer una copia de seguridad de sus datos y/o crear una imagen de su unidad de Windows antes de aplicar nuevas actualizaciones.

Para obtener un desglose más detallado de las fallas individuales abordadas por Microsoft hoy, consulte el Lista de SANS Internet Storm Center. Para aquellos administradores responsables de mantener entornos de Windows más grandes, a menudo vale la pena vigilar Askwoody.com, que con frecuencia señala cuándo actualizaciones específicas de Microsoft están creando problemas para varios usuarios.



>>Más