Los boletines de seguridad mensuales de Microsoft están aumentando. Después de un mes de enero relativamente contenido (49 averías corregidas)El martes de parches de febrero se está haciendo más grande con 73 fallas reparadas. 5 se consideran críticas, 65 se consideran importantes y 3 se consideran moderadas. Los equipos de TI tendrán que priorizar el abordaje de dos fallas de día cero que se están explotando activamente.

Índice
  1. 2 días cero que deben corregirse urgentemente
  2. Se ha corregido un fallo muy antiguo de DNSSEC y se ha atacado Exchange Server

2 días cero que deben corregirse urgentemente

El primero es CVE-2024-21351, que otorga a un atacante la capacidad de inyectar código en SmartScreen y obtener la ejecución del código, lo que puede provocar la exposición de datos, la indisponibilidad del sistema o ambas cosas. Para que el ataque de omisión de SmartScreen funcione, el atacante debe enviar al usuario un archivo malicioso y convencerlo de que lo abra.

El otro es CVE-2024-21412 y provoca una elusión de la característica de seguridad (marca de la web) de los archivos de acceso directo a Internet. "Un atacante no autenticado podría enviar al usuario objetivo un archivo especialmente diseñado para eludir los controles de seguridad mostrados", especifica la firma de Redmond. Añade como en el otro día cero que el cibercriminal debe enviar al usuario un archivo malicioso y convencerlo de que lo abra. Peter Girnus (gothburz) de la Zero Day Initiative de Trend Micro, quien descubrió el falloha publicado un informe sobre cómo fue explotado activamente por el grupo APT DarkCasino (Water Hydra) como parte de una campaña dirigida a los comerciantes financieros. Microsoft afirma que otros investigadores descubrieron la falla de forma independiente, incluidos dwbzn de Aura Information Security y Dima Lenz y Vlad Stolyarov del Grupo de Análisis de Amenazas de Google.

Se ha corregido un fallo muy antiguo de DNSSEC y se ha atacado Exchange Server

Aparte de las dos vulnerabilidades de día cero, los administradores de sistemas deberán estar especialmente atentos a las cinco vulnerabilidades críticas a las que hace referencia el martes de parches. Este es particularmente el caso de CVE-2024-21410 con una puntuación de gravedad de 9,8. La infracción da como resultado una elevación de privilegios en Exchange Server. La explotación de esta vulnerabilidad podría dar como resultado la divulgación del hash de la versión 2 de Net-New Technology LAN Manager (NTLM) de un usuario objetivo, que podría reenviarse a un servidor Exchange vulnerable como parte de un ataque de retransmisión NTLM o de paso del hash. El atacante podría entonces autenticarse como el usuario objetivo.

Por último, la actualización de seguridad también resuelve 15 vulnerabilidades de RCE en el proveedor OLE DB WDAC de Microsoft para SQL Server que un atacante podría explotar engañando a un usuario autenticado para que intente conectarse a un servidor SQL malicioso a través de OLEDB. El parche se completa con una corrección para CVE-2023-50387 (puntuación CVSS: 7,5), un fallo de diseño de hace 24 años en la especificación DNSSEC que puede explotarse para agotar los recursos de la CPU y bloquear los solucionadores de DNS, lo que lleva a una condición de denegación de servicio (DoS). La vulnerabilidad ha sido bautizada como KeyTrap por el sitio web de Microsoft. Centro Nacional de Investigación sobre Ciberseguridad Aplicada (ATHENE) en Darmstadt. “Los investigadores demostraron que con un solo paquete DNS, el ataque puede agotar la CPU y bloquear todas las implementaciones de DNS ampliamente utilizadas y los proveedores de DNS públicos, como Google Public DNS y Cloudflare”, dijeron los investigadores.