El nuevo Patch Tuesday aborda 51 vulnerabilidades en los productos de Microsoft

Microsoft lanzó su actualización mensual de seguridad como parte del martes de parches de junio, abordando 51 vulnerabilidades. Una de ellas recibió la clasificación de "Crítica" (CVSS por encima de 9 puntos), mientras que las otras 50 fueron calificadas como "Importantes" (CVSS por encima de 4 puntos).

El número de errores en cada categoría de vulnerabilidades se indica a continuación:

• 25 vulnerabilidades de elevación de privilegios;
• 18 vulnerabilidades de ejecución remota de código;
• 5 vulnerabilidades de denegación de servicio;
• 3 vulnerabilidades de divulgación de información.

Adicionalmente, se abordaron 17 vulnerabilidades en el navegador Edge basado en Chromium durante el último mes.

La vulnerabilidad crítica en el servicio Microsoft Message Queuing (MSMQ) con el identificador CVE-2024-30080 y una puntuación CVSS de 9.8 permite a un atacante remoto ejecutar código arbitrario en el servidor. Para explotar con éxito, los hackers necesitan enviar un paquete MSMQ malicioso especialmente diseñado al servidor.

Entre las vulnerabilidades destacadas también se abordaron fallas de ejecución remota de código en Microsoft Outlook (CVE-2024-30103, CVSS 8.8), el controlador Wi-Fi de Windows (CVE-2024-30078, CVSS 8.8) y varias vulnerabilidades de elevación de privilegios en el subsistema Win32 Kernel, el mini-filtro Windows Cloud Files y otros componentes.

Una de las vulnerabilidades, CVE-2023-50868 (CVSS 7.5), está relacionada con una denegación de servicio en el proceso de validación DNSSEC, lo que puede provocar una sobrecarga de la CPU en el resolvedor de validación DNSSEC. Esta vulnerabilidad fue identificada por investigadores del Centro Nacional de Ciberseguridad Aplicada (ATHENE) en febrero.

Tyler Reguly, subdirector de investigación de seguridad en Fortra, comentó: "NSEC3 es una versión mejorada de NSEC (Next Secure) que proporciona denegación autenticada de existencia. Esto ayuda a prevenir el envenenamiento de caché DNS para dominios inexistentes".

El problema no solo afecta a los productos de Microsoft, sino también a otros servidores DNS conocidos como bind, powerdns, dnsmasq y otros, que también lanzaron actualizaciones para abordar este problema.

La firma de ciberseguridad Morphisec, que descubrió CVE-2024-30103 en Microsoft Outlook, informó que esta vulnerabilidad permite ejecutar código sin requerir interacción del usuario con el contenido del correo electrónico. "La falta de necesidad de interacción del usuario y la facilidad de explotación aumentan la probabilidad de que los atacantes utilicen esta vulnerabilidad para obtener acceso inicial", señaló el investigador de seguridad Michael Gorelik.

Ninguna de las vulnerabilidades abordadas en la actualización de junio estaba siendo explotada activamente, aunque una de ellas era públicamente conocida en el momento del lanzamiento. Microsoft recomienda a los usuarios que no demoren la instalación de la actualización para proteger sus sistemas.

Puede encontrar más detalles sobre la lista completa de vulnerabilidades corregidas en el sitio web oficial de Microsoft.