Actualización de Julio de Microsoft Corrige 143 Fallos, Incluidos dos Activamente Explotados
En su actualización mensual de seguridad, Microsoft ha liberado parches con los cuales refuerza la seguridad contra un total de 143 fallos, de los cuales dos están bajo explotación activa en línea. De estos fallos, cinco son clasificados como Críticos, 136 son Importantes y cuatro son de severidad Moderada. No olvidemos que estos parches vienen además de las 33 vulnerabilidades que se han abordado en el navegador Edge basado en Chromium en el último mes.
Los dos déficits de seguridad en uso activo son los siguientes:
- CVE-2024-38080 (Puntaje CVSS: 7.8) – Vulnerabilidad de Elevación de Privilegios en Windows Hyper-V
- CVE-2024-38112 (Puntuación CVSS: 7.5) – Vulnerabilidad de Falsificación de Plataforma MSHTML en Windows
Respecto al CVE-2024-38112, Microsoft mencionó que “la explotación exitosa de esta vulnerabilidad requiere que un atacante tome acciones adicionales antes de la explotación para preparar el entorno objetivo”. Esto significa que el atacante tendría que enviar al objetivo un archivo malintencionado que el usuario tendría que ejecutar. El investigador de seguridad de Check Point, Haifei Li, descubrió este recorte y reportó el fallo en mayo de 2024.
Li explica que los actores malintencionados aprovechan archivos de Acceso Directo a Internet de Windows (.URL) especialmente diseñados que, al hacer clic, redirigen a las víctimas a una URL malintencionada mediante el antiguo navegador Internet Explorer (IE).
Asimismo, Li señala un truco adicional en IE que se usa para ocultar el nombre de la extensión malintencionada .HTA. “Al abrir la URL con IE en lugar del moderno y mucho más seguro Chrome/Edge en Windows, el atacante ganó ventajas significativas para explotar el equipo de la víctima, aunque el equipo esté ejecutando el moderno sistema operativo Windows 10/11”.
Check Point ha cargado artefactos que emplean la técnica de ataque en la plataforma de escaneo de malware VirusTotal desde enero de 2023, lo que indica que los actores de amenazas han estado al tanto del resquicio por más de 1.5 años.
Asimismo, Check Point indica que observó muestras .URL que se utilizan para entregar un ladrón de información llamado Atlantida, que fue documentado por Rapid7 a principios de este año como un malware que facilita el robo de credenciales de inicio de sesión, datos de billeteras de criptomonedas, información almacenada en navegadores web, capturas de pantalla y datos de hardware.
De acuerdo a los hallazgos preliminares de Check Point, hay al menos dos grupos de amenazas probablemente diferentes que están explotando el CVE-2024-38112 en campañas concurrentes como parte de una operación que se sospecha es económicamente motivada.
“CVE-2024-38080 es un fallo de elevación de privilegios en Windows Hyper-V”, comenta Satnam Narang, ingeniero senior de investigación de Tenable. Añade también que un atacante autenticado local podría explotar esta vulnerabilidad para elevar los privilegios al nivel de SYSTEM tras comprometer inicialmente un sistema objetivo.
Los detalles exactos sobre el abuso de CVE-2024-38080 son actualmente desconocidos, pero Narang señaló que este es el primero de los 44 defectos de Hyper-V que se han explotado en línea desde 2022.
Además de corregir estas vulnerabilidades, Microsoft también anunció el mes pasado que comenzará a emitir identificadores CVE para vulnerabilidades de seguridad relacionadas con la nube en un esfuerzo por mejorar la transparencia.
Junto a Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para corregir varias vulnerabilidades, incluyendo Adobe, Amazon Web Services, Apple, IBM, Google Android, Samsung, entre otros.