Microsoft se superó a sí mismo con los lanzamientos del martes de parches de este mes, que no contienen parches de día cero, aunque al menos uno de los parches aborda una falla que ya está siendo explotada activamente.
Los productos afectados por las actualizaciones más recientes del Patch Tuesday incluyen Windows y componentes de Windows; Azur; .NET Framework y Visual Studio; Servidor SQL; Servidor DNS; Defensor de Windows; Bitlocker; y arranque seguro de Windows.
La actualización de abril de Microsoft incluyó 147 CVE, tres clasificados como "críticos", 142 categorizados como "importantes" y dos catalogados como "moderados" en cuanto a gravedad. Ese número aumenta a 155 CVE si se incluyen fallas de terceros. El número representa un récord para las correcciones del martes de parches.
"Microsoft parcheó 147 CVE en abril, la mayor cantidad de CVE parcheados en un mes desde que comenzamos a rastrear estos datos en 2017", dijo Satnam Narang, ingeniero investigador senior de Tenable, en un comunicado. "La última vez que se parchearon más de 100 CVE fue en octubre de 2023, cuando Microsoft abordó 103 CVE". El máximo anterior fue en julio de 2023, con 130 CVE parcheados, añadió Narang.
Microsoft no indicó que ninguno de los CVE del parche del martes de abril sean amenazas de día cero, una bienvenida salida del rápido ritmo de revelaciones de día cero del año pasado.
"El año pasado por estas fechas, se explotaron siete vulnerabilidades de día cero", dijo Narang. Este año solo se han explotado dos días cero y ambos fueron en febrero. "Es difícil determinar por qué hemos visto esta disminución, ya sea simplemente por una falta de visibilidad o si significa una tendencia en la que los atacantes utilizan vulnerabilidades conocidas como parte de sus ataques a las organizaciones".
Sin embargo, Dustin Childs de Zero Day Initiative señaló en su informe de abril Análisis del martes de parches de Microsoft que su organización tiene evidencia de una falla conocida explotada en la lista de correcciones de este mes.
Correcciones del martes de parches para priorizar
Childs señaló la vulnerabilidad de gravedad máxima en SmartScreen Prompt Security Feature Bypass (CVE-2024-29988) con una puntuación CVSS de 8.8, que fue descubierta por ZDI pero no figuraba como explotada en la actualización Patch Tuesday de Microsoft.
"Sin embargo, el error informado por el cazador de amenazas ZDI Peter Girrus se encontró en la naturaleza", agregó Childs. "Tenemos evidencia de que esto está siendo explotado en la naturaleza y lo incluyo como tal".
Otro error de gravedad máxima que afecta la vulnerabilidad de ejecución remota de código en tiempo de ejecución de llamada a procedimiento remoto (CVE-2024-20678) recibió una puntuación CVSS de 8.8 y Microsoft lo parcheó este mes.
Una vulnerabilidad de suplantación de identidad (CVE-2024-20670), catalogado como de gravedad máxima con un CVSS base de 8.1, se solucionó en Outlook para Windows. Y una ejecución remota de código del servidor DNS de Windows, también catalogada como de gravedad máxima (CVE-2024-26221) con una puntuación CVSS de 7.2, también fue parcheado.
Microsoft SQL obtiene muchos parches
Las vulnerabilidades de Microsoft SQL Server constituyen una gran parte de las correcciones del martes de parches de este mes, según Kev Breen, director senior de investigación de amenazas de Immersive Labs.
"Si bien a primera vista puede parecer que Microsoft ha señalado una gran cantidad de vulnerabilidades en sus últimas notas, 40 de ellas están relacionadas con el mismo producto: Microsoft SQL Server", dijo Breen en un comunicado. "El problema principal está en los Clientes utilizados para conectarse a un servidor SQL, no en el servidor en sí".
Breen continuó explicando que todo esto requeriría ingeniería social, lo que haría que las fallas de SQL fueran difíciles de explotar de alguna manera útil.
"Todas las vulnerabilidades reportadas siguen un patrón similar: para que un atacante obtenga la ejecución del código, debe convencer a un usuario autenticado dentro de una organización para que se conecte a un servidor SQL remoto que controla el atacante", agregó Breen. "Aunque no es imposible, es poco probable que los atacantes exploten esto a gran escala".
Los equipos de seguridad preocupados por este tipo de ataques deben buscar actividad anómala y bloquear las conexiones salientes excepto a servidores confiables.
Defectos de arranque seguro y rápido de Microsoft SmartScreen
Narang de Tenable destacó la solución de este mes para la omisión de la función de seguridad SmartScreen Prompt (CVE-2024-29988), con su puntuación CVSS de 8.8, también se basa en la ingeniería social para hacer posible la explotación. Un error de día cero similar (CVE-2024-21412), descubierto por los mismos investigadores, se utilizó en una campaña de DarkGate haciéndose pasar por marcas populares como Apple iTunes.
"Se supone que Microsoft Defender SmartScreen proporciona protección adicional a los usuarios finales contra el phishing y los sitios web maliciosos", dijo Narang. "Sin embargo, como su nombre lo indica, estas fallas pasan por alto estas características de seguridad, lo que lleva a que los usuarios finales se infecten con malware".
Narang también sugirió que los equipos de seguridad echen un vistazo a las 24 correcciones de fallas de arranque seguro de Windows incluidas en el lanzamiento del martes de parches de abril de Microsoft.
“La última vez que Microsoft corrigió una falla en el arranque seguro de Windows (CVE-2023-24932) en mayo de 2023 tuvo un impacto notable ya que fue explotado en la naturaleza y vinculado al bootkit BlackLotus UEFI, que se vendió en foros de la Dark Web por 5,000 dólares”, dijo.
malware BlackLotus es capaz de bloquear las protecciones de seguridad mientras se inicia.
"Si bien ninguna de estas vulnerabilidades de arranque seguro abordadas este mes fue explotada en la naturaleza, sirven como recordatorio de que las fallas en el arranque seguro persisten y podríamos ver más actividad maliciosa relacionada con el arranque seguro en el futuro", enfatizó Narang.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/microsoft-patch-tuesday-no-zero-days-but-one-under-active-exploit
