Patch Tuesday: 89 razones para actualizar Windows ahora mismo

Microsoft lanzó la actualización de agosto Patch Tuesday, que incluye correcciones para 89 vulnerabilidades, de las cuales 6 son activamente explotadas y 3 han sido divulgadas públicamente como zero-day. Otra vulnerabilidad zero-day, que ya es conocida, aún no ha sido corregida, pero Microsoft está trabajando en una actualización.

Entre las vulnerabilidades corregidas en esta actualización, 8 se clasifican como críticas. Incluyen problemas relacionados con la elevación de privilegios, la ejecución remota de código y la divulgación de información. Es notable que, en esta ocasión, el número de vulnerabilidades relacionadas con la elevación de privilegios resultó ser el más significativo, con un total de 36.

El desglose detallado de todas las vulnerabilidades corregidas incluye:

• 36 vulnerabilidades de elevación de privilegios (Elevation of Privilege);
• 4 vulnerabilidades de omisión de funciones de seguridad (Security Feature Bypass);
• 28 vulnerabilidades de ejecución remota de código (Remote Code Execution, RCE);
• 8 vulnerabilidades de divulgación de información (Information Disclosure);
• 6 vulnerabilidades de denegación de servicio (Denial of Service, DoS);
• 7 vulnerabilidades de suplantación de identidad (Spoofing).

Para obtener más información sobre las actualizaciones lanzadas que no están relacionadas con la seguridad, puede consultar las actualizaciones Windows 11 KB5041585 y Windows 10 KB5041580.

6 vulnerabilidades zero-day activamente explotadas en Patch Tuesday:

• CVE-2024-38178 — vulnerabilidad de corrupción de memoria en el motor de scripting, que requiere autenticación del cliente para iniciar la ejecución remota de código. La explotación de la vulnerabilidad requiere que el usuario haga clic en un enlace en Microsoft Edge en modo Internet Explorer, lo que dificulta su uso; sin embargo, a pesar de estas condiciones, ya se han registrado ataques que utilizan esta vulnerabilidad.
• CVE-2024-38193 — vulnerabilidad de elevación de privilegios en el controlador de funciones auxiliares de Windows para WinSock, permite a los atacantes obtener privilegios de sistema. Los expertos de Gen Digital descubrieron este problema, sin embargo, Microsoft no ha revelado detalles sobre cómo se identificó el error ni cómo se utilizó en los ataques.
• CVE-2024-38213 — vulnerabilidad de omisión de funciones de seguridad en Windows MotW, que permite crear archivos que evaden las alertas de seguridad Mark of the Web. Microsoft afirma que la vulnerabilidad fue descubierta por Trend Micro ZDI, pero no proporciona información sobre cómo se utiliza el error en los ataques.
• CVE-2024-38106 — vulnerabilidad en el kernel de Windows, que lleva a la elevación de privilegios. Para una explotación exitosa, se requiere ganar una condición de carrera (race condition), lo que hace que el ataque sea bastante complejo, pero potencialmente destructivo.
• CVE-2024-38107 — elevación de privilegios en Windows Power Dependency Coordinator, que da a los hackers privilegios de sistema en un dispositivo Windows. Microsoft no ha revelado quién informó sobre la vulnerabilidad ni cómo se utilizó.
• CVE-2024-38189 — ejecución remota de código en Microsoft Project. Los ciberdelincuentes pueden explotar la vulnerabilidad si logran que el usuario abra un archivo malicioso, por ejemplo, a través de un ataque de phishing. Es importante destacar que la explotación exitosa solo es posible si las funciones de seguridad están desactivadas en Microsoft Office. Microsoft no ha revelado quién descubrió la vulnerabilidad ni cómo se utilizó en los ataques.

Además de las vulnerabilidades mencionadas anteriormente, la actualización también corrige 4 vulnerabilidades divulgadas públicamente, entre las que se incluyen:

• CVE-2024-38199 en el servicio Windows Line Printer Daemon (LPD), que permite la ejecución remota de código al enviar un trabajo de impresión especialmente diseñado. El error ya había sido revelado públicamente, pero su origen ha preferido permanecer en el anonimato.
• CVE-2024-21302 , relacionada con el ataque Windows Downdate, que permite revertir actualizaciones de Windows y volver a explotar vulnerabilidades corregidas. El problema fue revelado por el investigador de seguridad Alon Leviev en la conferencia Black Hat 2024.
• CVE-2024-38200 — vulnerabilidad de suplantación de identidad en Microsoft Office, que exponía hashes NTLM. Un atacante podía explotar la vulnerabilidad cuando la víctima abre un archivo malicioso, lo que provocaría que Office estableciera una conexión saliente a un recurso compartido remoto, donde el atacante podría robar los hashes NTLM enviados.
• CVE-2024-38202 — vulnerabilidad en la pila del Centro de Actualización de Windows, que lleva a la elevación de privilegios, también relacionada con Windows Downdate. Microsoft está desarrollando una actualización de seguridad para corregir el error, pero aún no está disponible.

Además de Microsoft, en agosto de 2024, otras compañías también lanzaron sus actualizaciones de seguridad. Por ejemplo, se corrigió la vulnerabilidad 0.0.0.0 Day, que permitía a los sitios web maliciosos evadir las funciones de seguridad del navegador y acceder a servicios en la red local. También se lanzaron actualizaciones para Android, que corrigen una vulnerabilidad RCE activamente explotada, y Cisco advirtió sobre vulnerabilidades zero-day en teléfonos IP obsoletos de las series Small Business SPA 300 y SPA 500.

La lista completa de vulnerabilidades corregidas en las actualizaciones Patch Tuesday de agosto de 2024 está disponible en esta página.