El último martes de parches de Microsoft de abril de 2024 cubre 155 vulnerabilidades, tres de las cuales están clasificadas como críticas. La actualización incluye 145 clasificados como de “gravedad importante”.
También hay un parche de emergencia para la vulnerabilidad de suplantación de controladores de proxy (CVE-2024-26234), que afecta a los sistemas operativos de servidores y de escritorio de Windows. Microsoft ha lanzado parches de seguridad para las versiones al final de su vida útil del sistema operativo, incluido Windows Server 2008, cuyo soporte finalizó el 14 de enero de 2020.
Rapid7 señaló que cuando publicó originalmente el aviso para CVE-2024-26234, Microsoft no indicó que estuviera al tanto de la explotación en la naturaleza o la divulgación pública de vulnerabilidades. Sin embargo, a última hora del día de la publicación, Microsoft actualizó el aviso para reconocer el conocimiento tanto de la explotación salvaje como de la divulgación pública.
Microsoft Defender para IoT, la herramienta sin agente implementable en Azure para monitorear dispositivos de Internet de las cosas (IoT) y tecnología operativa (OT) tiene tres vulnerabilidades críticas abordadas en la última actualización del martes de parches.
La actualización corrige tres vulnerabilidades críticas de ejecución remota de código (RCE) en la herramienta. La primera explotación requiere que el atacante tenga acceso administrativo existente a la aplicación web Defender for IoT.
En un blog que analiza las tres vulnerabilidades críticas, Qualys afirmó que para la vulnerabilidad CVE-2024-21323, un atacante debe ser administrador de la aplicación web para explotar la vulnerabilidad. La explotación exitosa de la vulnerabilidad puede conducir a la ejecución remota de código en los sistemas de destino. CVE-2024-29053 también requiere acceso de administrador.
Qualys dijo que la explotación exitosa de esta vulnerabilidad de recorrido de ruta requiere que un atacante autenticado, con acceso a la función de carga de archivos, cargue archivos maliciosos en ubicaciones sensibles del servidor.
Al igual que los otros dos vectores de ataque, la tercera vulnerabilidad crítica en Microsoft Defender para IoT, CVE-2024-21323, requiere derechos de administrador. Qualysy dijo que un atacante debe enviar un archivo tar (archivo de cinta) al sensor Defender for IoT. Este es un formato de archivo utilizado para comprimir datos.
Después del proceso de extracción, en el que se descomprime el archivo, el atacante puede enviar paquetes de actualización sin firmar y sobrescribir cualquier archivo que elija. El atacante primero debe autenticarse y obtener los permisos necesarios para iniciar el proceso de actualización, explicó Qualys en la publicación del blog.
Junto con las vulnerabilidades críticas en Defender para IoT, la actualización del martes de parches incluye un parche para CVE-2024-29988. Esto corrige una vulnerabilidad de omisión de seguridad para SmartScreen. Defender SmartScreen es una función de Windows que ayuda a proteger a los usuarios de amenazas en línea como malware y phishing.
Para ello, compara los sitios web y los archivos descargados con una base de datos de sitios web inseguros. La publicación del blog de Lansweeper que cubre CVE-2024-29988 informó que para explotar esta característica de seguridad para evitar la vulnerabilidad, un atacante necesitaría convencer a un usuario para que inicie archivos maliciosos utilizando una aplicación de inicio que no tiene interfaz de usuario.
“CVE-2024-29988 tiene una puntuación CVSS de 8,8 y Microsoft la enumera como una de las vulnerabilidades que tiene más probabilidades de ser explotada”, afirmó Lansweep en la publicación del blog.