Patch Tuesday de julio: Microsoft corrigió 143 vulnerabilidades

Como parte del habitual «martes de parches», Microsoft publicó actualizaciones de seguridad que solucionan 143 vulnerabilidades, dos de las cuales ya están siendo explotadas activamente por atacantes. Estas correcciones se suman a 33 vulnerabilidades que se solucionaron en el navegador Edge basado en Chromium durante el último mes.

A continuación se presentan las dos vulnerabilidades explotadas activamente de la lista de Microsoft:

• CVE-2024-38080 (puntuación CVSS: 7.8) — vulnerabilidad de elevación de privilegios en Windows Hyper-V.
• CVE-2024-38112 (puntuación CVSS: 7.5) — vulnerabilidad de suplantación de plataforma Windows MSHTML.

Según la empresa, para explotar con éxito CVE-2024-38112, un atacante necesita enviar a la víctima un archivo malicioso que luego debe ejecutar por sí misma. El investigador de seguridad de Check Point, Haifei Li, informó que los atacantes están utilizando archivos URL especialmente diseñados que redirigen a las víctimas a sitios web maliciosos a través del navegador Internet Explorer obsoleto. Esto permite ocultar la extensión maliciosa «.HTA», facilitando la explotación de la vulnerabilidad incluso en sistemas operativos modernos, incluidos Windows 10 y 11.

CVE-2024-38080, por su parte, es una vulnerabilidad de elevación de privilegios en Windows Hyper-V. Según Satnam Narang, ingeniero senior de investigación de seguridad de Tenable, un atacante local autenticado puede explotar esta vulnerabilidad para elevar los privilegios al nivel SYSTEM después de la compromisión inicial del sistema. Esta es la primera vulnerabilidad de Hyper-V de las 44 conocidas que se explota desde 2022.

También cabe destacar otras dos vulnerabilidades que ya se habían revelado públicamente:

• CVE-2024-37985 (puntuación CVSS: 5.9) — ataque de canal lateral FetchBench que permite a un atacante ver la memoria del montón de un proceso privilegiado en sistemas basados en Arm.
• CVE-2024-35264 (puntuación CVSS: 8.1) — vulnerabilidad de ejecución remota de código que afecta a.NET y Visual Studio. Según Microsoft, un atacante puede explotar esta vulnerabilidad cerrando un flujo http/3 durante el procesamiento del cuerpo de la solicitud, lo que ocasiona una condición de carrera y una potencial explotación remota.

Microsoft también solucionó 37 vulnerabilidades de ejecución remota de código en SQL Server Native Client OLE DB Provider, 20 vulnerabilidades de bypass de funciones de seguridad de Secure Boot, tres vulnerabilidades de elevación de privilegios en PowerShell y una vulnerabilidad de suplantación en el protocolo RADIUS (CVE-2024-3596, conocida como BlastRADIUS).

Greg Wiseman, gerente senior de producto de Rapid7, señaló que las vulnerabilidades de SQL Server afectan no solo a los servidores, sino también al código del cliente que utiliza versiones vulnerables del controlador de conexión. Los atacantes pueden usar ingeniería social para hacer que un usuario autenticado se conecte a una base de datos SQL Server configurada para devolver datos maliciosos, lo que da como resultado la ejecución de código arbitrario en el dispositivo del cliente.

La última vulnerabilidad importante es CVE-2024-38021 (puntuación CVSS: 8.8), que permite la ejecución remota de código en Microsoft Office. Según la empresa Morphisec, esta vulnerabilidad no requiere autenticación y representa una amenaza grave debido a la posibilidad de explotación sin interacción del usuario. El ataque permite al atacante obtener altos privilegios, incluyendo la capacidad de leer, escribir y eliminar datos.

Todas estas correcciones se lanzaron poco después de que Microsoft anunciara planes para comenzar a asignar identificadores CVE a todas las vulnerabilidades relacionadas con la nube, con el objetivo de aumentar la transparencia y la seguridad.