El año empieza lento en cuanto a parches de seguridad para Microsoft. Su último parche del martes de enero de 2024 “sólo” cierra 49 fallos distribuidos de la siguiente manera: 12 en la ejecución remota de código, 11 son del tipo divulgación de información, 10 abren el camino a la escalada de privilegios, 7 proporcionan funciones de elusión, 6 denegación de servicio y 3 funciones de suplantación de identidad. Tenga en cuenta que esta salva no incluye los 4 agujeros de seguridad para el navegador Edge corregidos el 5 de enero. Dos están clasificados como críticos y 47 considerados importantes.

La primera falla crítica que se reporta (puntuación CVSS 9) está vinculada a un error crítico de Windows Kerberos (CVE-2024-20674) que permite a un pirata informático eludir esta función de autenticación. "Este error permite que un atacante no autenticado realice un ataque de máquina en el medio (MitM) que se hace pasar por un servidor Kerberos". alerta la Iniciativa Día Cero. “Un cliente afectado recibiría lo que cree que son mensajes auténticos del servidor de autenticación Kerberos. Aunque sin duda es necesario adoptar una serie de medidas, microsoft le da a este error su calificación de explotabilidad más alta, lo que significa que espera ver el código de explotación público dentro de los 30 días. Por tanto, la vigilancia es más que necesaria y la aplicación del parche parece más que recomendada.

Windows Hyper-V expuesto a la ejecución remota de código

La segunda falla crítica resulta en la ejecución remota de código en Windows Hyper-V (CVE-2024-20700). "Microsoft no proporciona mucha descripción más allá de eso, por lo que no está claro cómo se produciría la ejecución del código", advierte también la Zero Day Initiative. “Sin embargo, la empresa señala que no se requiere ni autenticación ni interacción del usuario, lo que hace que esta vulnerabilidad sea muy interesante para explotar a los autores. Aunque es necesario obtener una interferencia (condición de carrera) para explotar con éxito la falla, hemos visto a muchos ganadores de Pwn2Own utilizarla en sus exploits.

Si bien no hay vulnerabilidades explotadas activamente o divulgadas públicamente este mes, hay algunas vulnerabilidades no críticas que merecen especial atención. Este es el caso, por ejemplo, de CVE-2024-20677, que brinda a los ciberdelincuentes la capacidad de crear documentos de Office corruptos con archivos de modelos 3D FBX integrados que conducen a la ejecución remota de código. “Existe una vulnerabilidad de seguridad en FBX que podría provocar la ejecución remota de código. Para mitigar esta vulnerabilidad, se ha deshabilitado la capacidad de insertar archivos FBX en Word, Excel, PowerPoint y Outlook para Windows y Mac”, explica Microsoft en su boletín de seguridad. “Las versiones de Office que tenían esta función habilitada ya no tendrán acceso a ella. Esto incluye Office 2019, Office 2021, Office LTSC para Mac 2021 y Microsoft 365”.