Después de un mes de julio muy ocupado (Con 142 errores corregidos), el parche del martes de agosto parece más ligero en apariencia con su lote de 89 correcciones. Pero las apariencias engañan, esta edición corrige nada menos que 9 vulnerabilidades de día cero, o incluso 10 porque Microsoft está trabajando en una vulnerabilidad crítica. En este lote, hay 6 vulnerabilidades de día cero explotadas activamente y 3 han sido publicadas.

Índice
  1. Vulnerabilidades en Windows, Scripting Engine y Mark of the Web
  2. Ataque de actualización de Windows parcialmente solucionado

Vulnerabilidades en Windows, Scripting Engine y Mark of the Web

El primero que llama la atención de los administradores es el CVE-2024-38178 Una vulnerabilidad de corrupción de memoria en el motor de scripts. Microsoft afirma que el ataque requiere que un cliente autenticado haga clic en un enlace para que un atacante no autenticado inicie la ejecución remota de código. El enlace debe hacerse clic en el navegador Edge en modo Internet Explorer, lo que lo convierte en una falla difícil de explotar. Sin embargo, incluso con estos requisitos previos, el Centro Nacional de Seguridad Cibernética de Corea del Sur (NCSC) y AhnLab han revelado que la falla está siendo explotada en ataques.

El segundo es CVE-2024-38193, un fallo de elevación de privilegios en el controlador de funciones auxiliares de Windows para WinSock. Conduce a ataques que obtienen privilegios SYSTEM en sistemas Windows. El fallo fue descubierto por Luigino Camastra y Milánek de Gen Digital, pero la empresa de Redmond no proporcionó detalles sobre cómo se divulgó.

El tercer fallo explotado es CVE-2024-38213, que permite eludir la función de seguridad Windows Mark of the Web. Esta vulnerabilidad permite a los atacantes crear archivos que eluden las alertas de seguridad de Windows Mark of the Web. Esta función de seguridad ha sido objeto de numerosas elusiones durante el último año porque es un objetivo atractivo para los cibercriminales que realizan campañas de phishing. Microsoft dice que el fallo fue descubierto por Peter Girnus de la Zero Day Initiative de Trend Micro, pero no especifica cómo se está explotando en los ataques.

Ataque de actualización de Windows parcialmente solucionado

Entre las vulnerabilidades críticas que se han presentado a Microsoft se encuentran las CVE-2024-38106que genera una vulnerabilidad de elevación de privilegios del kernel de Windows que otorga privilegios de SISTEMA. "Para explotar con éxito esta vulnerabilidad, un atacante debe ganar una condición de carrera", explica el aviso de Microsoft. También existe la CVE-2024-38107 lo que provoca la escalada de privilegios del Coordinador de dependencia de energía de Windows o CVE-2024-38189 que desencadena la ejecución remota de código en Microsoft Project. “La explotación requiere que la víctima abra un archivo malicioso de Microsoft Office Project en un sistema donde la política Bloquear la ejecución de macros en archivos de Office desde Internet está deshabilitada y la configuración de notificación de macros de VBA no está habilitada, lo que permite al atacante realizar la ejecución remota de código”, afirma el aviso de seguridad.

También en Office, CVE-2024-38200 provoca una vulnerabilidad de suplantación de identidad que expone los hashes NTLM, como se reveló en la conferencia Defcon "NTLM - The last ride". Los atacantes pueden explotar esta falla engañando a alguien para que abra un archivo malicioso, lo que obliga a Office a conectarse a un recurso compartido remoto donde los atacantes pueden robar los hashes NTLM enviados. Finalmente, cabe destacar las correcciones (incluida la CVE-2024-38202 (actualmente en proceso de procesamiento por Microsoft) sobre el llamado ataque Downdate en Windows Update Presentado por un investigador de Black Hat en Las Vegas. Pudo degradar varios componentes de Windows Update para que el sistema operativo quedara expuesto a vulnerabilidades antiguas.