Después de 79 defectos corregidos por Microsoft en septiembre En sus productos, este mes de octubre resulta ser una mejor cosecha. La firma Redmond ha llenado 117 agujeros de seguridad (incluidos 43 RCE), incluidos 5 días cero, dos de los cuales se explotan activamente: el CVE-2024-43573 (robo de identidad de la plataforma MSHTML de Windows) y el CVE-2024-43572 (ejecución de código remoto de código remoto de código remoto Microsoft Gestión de la consola). Considerado un riesgo moderado, el primero es muy similar al error corregido en julio en el mismo componente (MSHTML), que fue utilizado por el grupo APT conocido como Void Banshee según los investigadores. De la iniciativa de día cero (Zdi). Sin dar más detalles, Microsoft dijo que MSHTML es utilizado por Internet Explorer Mode in Edge, así como otras aplicaciones a través del control de WebBrowser. El módulo EdgeHTML es utilizado por WebView y ciertas aplicaciones UWP. Las plataformas de script son utilizadas por MSHTML y EdgeHTML, pero también pueden ser utilizadas por otras aplicaciones heredadas.

También se presenta como un riesgo moderado, el segundo CVE-2024-43572 hazaña permite que los archivos de consola guardada de Microsoft (MSC) ejecutaran código remoto en dispositivos vulnerables. La falla se ha llenado, evitando la apertura de archivos MSC poco confiables. Por otro lado, no sabemos más sobre cómo se explotó activamente esta falla en los ataques. "Dada la cantidad de ingeniería social necesaria para explotar este error, creo que los ataques son limitados en esta etapa", dijo un investigador de ZDI. "Sin embargo, dado el daño que podría ser causado por un administrador que carga un complemento malicioso, probaría e implementaría esta actualización rápidamente".

Vigilancia en tres días cero no explotados

Aunque no se explotan activamente, otros tres días cero requieren atención especial. Comenzando con el CVE-2024-6197 (ejecución del código remoto del software Curl de código abierto). "La ruta de código vulnerable puede ser activada por un servidor malicioso que ofrece un certificado TLS especialmente diseñado", explica un aviso de seguridad CUR. Microsoft ha corregido el defecto actualizando la biblioteca Libcurl utilizada por el ejecutable de curl suministrado con Windows. El CVE-2024-20659 (omitiendo las características de seguridad de Windows Hyper-V) también requiere vigilancia. Esto se refiere a las máquinas virtuales dentro de una máquina host de UEFI (interfaz de firmware extensible unificada): "En ciertos materiales específicos, puede ser posible omitir el UEFI, lo que podría comprometer el hipervisor y el núcleo seguro", advirtió que Microsoft sabía que un atacante debe tener acceso físico al sistema objetivo y debe reiniciar para que se realice la hazaña. El CVE-2024-43583 (elevación de los privilegios de Winlogon) también es peligroso porque puede proporcionar derechos de sistemas a los atacantes. "Para remediar este defecto, asegúrese de que un IME de primer nivel se active en su terminal", dice Microsoft.

También preste atención a otras tres críticas para la ejecución del código remoto: CVE-2024-43468 (relacionado con Microsoft Configuration Manager), CVE-2024-43582 (en relación con el servidor de protocolo de escritorio remoto) y CVE-2024-43488 (que afecta la extensión de estudio visual para Arduino).