Microsoft publicó el martes su actualización mensual de seguridad, que aborda 61 fallos de seguridad diferentes en su software, incluidos dos problemas críticos que afectan a Windows Hyper-V y que podrían provocar una denegación de servicio (DoS) y la ejecución remota de código.
De las 61 vulnerabilidades, dos se consideran críticas, 58 importantes y una de gravedad baja. En el momento de la publicación, ninguno de los fallos era conocido públicamente ni estaba siendo objeto de ataques activos, pero seis de ellos han sido etiquetados con una evaluación de "Explotación más probable".
Las correcciones se suman a los 17 fallos de seguridad que se han parcheado en el navegador Edge de la empresa, basado en Chromium, desde la publicación de las actualizaciones del martes de parches de febrero de 2024.
Encabezando la lista de fallos críticos se encuentran CVE-2024-21407 y CVE-2024-21408, que afectan a Hyper-V y podrían dar lugar a la ejecución remota de código y a una condición DoS, respectivamente.
La actualización de Microsoft también aborda fallos de escalada de privilegios en el contenedor confidencial Azure Kubernetes Service (CVE-2024-21400, puntuación CVSS: 9,0), Windows Composite Image File System (CVE-2024-26170, puntuación CVSS: 7,8) y Authenticator (CVE-2024-21390, puntuación CVSS: 7,1).
La explotación exitosa de CVE-2024-21390 requiere que el atacante tenga presencia local en el dispositivo, ya sea a través de malware o de una aplicación maliciosa ya instalada por algún otro medio. También requiere que la víctima cierre y vuelva a abrir la aplicación Authenticator.
"La explotación de esta vulnerabilidad podría permitir a un atacante acceder a los códigos de autenticación multifactor de las cuentas de la víctima, así como modificar o eliminar cuentas en la aplicación Authenticator, pero sin impedir que la aplicación se inicie o ejecute", explica Microsoft en un aviso.
"Aunque la explotación de este fallo se considera menos probable, sabemos que los atacantes están dispuestos a encontrar formas de eludir la autenticación multifactor", dijo Satnam Narang, ingeniero de investigación senior de Tenable, en una declaración compartida con The Hacker News.
"Tener acceso a un dispositivo objetivo ya es bastante malo, ya que pueden monitorizar las pulsaciones de teclado, robar datos y redirigir a los usuarios a sitios web de phishing, pero si el objetivo es permanecer sigilosos, podrían mantener este acceso y robar códigos de autenticación multifactor para iniciar sesión en cuentas sensibles, robar datos o secuestrar las cuentas por completo cambiando las contraseñas y sustituyendo el dispositivo de autenticación multifactor, bloqueando efectivamente al usuario de sus cuentas."
Otra vulnerabilidad a destacar es un fallo de escalada de privilegios en el componente Print Spooler (CVE-2024-21433, puntuación CVSS: 7,0) que podría permitir a un atacante obtener privilegios de SISTEMA, pero sólo al ganar una condición de carrera.
La actualización también soluciona un fallo de ejecución remota de código en Exchange Server (CVE-2024-26198, puntuación CVSS: 8,8) del que podría abusar una amenaza no autenticada colocando un archivo especialmente diseñado en un directorio en línea y engañando a la víctima para que lo abra, lo que daría lugar a la ejecución de archivos DLL maliciosos.
La vulnerabilidad con la calificación CVSS más alta es CVE-2024-21334 (puntuación CVSS: 9,8), que se refiere a un caso de ejecución remota de código que afecta a la Open Management Infrastructure (OMI).
"Un atacante remoto no autenticado podría acceder a la instancia OMI desde Internet y enviar peticiones especialmente diseñadas para desencadenar una vulnerabilidad de uso después de libre", dijo Redmond.
"El primer trimestre del martes de parches de 2024 ha sido más tranquilo en comparación con los últimos cuatro años", dijo Narang. "De media, hubo 237 CVE parcheados en el primer trimestre de 2020 a 2023. En el primer trimestre de 2024, Microsoft solo parcheó 181 CVE. La media de CVE parcheados en marzo en los últimos cuatro años fue de 86."
Fuente: thehackernews