You have not selected any currencies to display

Bl0ckch41nnewsActualizaciones de abril para todas las empresas

Information security
Por bl0ckch41nnews
21


Relacionados

Bl0ckch41nnewsEl cierre de Samourai y la advertencia…

Bl0ckch41nnewsArcaneDoor: explotan dos…

Bl0ckch41nnewsVulnerabilidad grave en GNU C Library…

Microsoft ha publicado actualizaciones de seguridad para el mes de abril de
2024 para corregir un récord de 149 fallas,
dos de las cuales han sido explotadas activamente en la naturaleza.

De los 149 defectos, tres están clasificados como críticos, 142 como
importantes, tres como moderados y uno como de gravedad baja. La actualización
se suma a
21 vulnerabilidades que la compañía abordó en su navegador Edge basado en
Chromium
luego del lanzamiento de las correcciones del martes de
parches de marzo de 2024.

Las dos deficiencias que han sido objeto de explotación activa se encuentran a
continuación:

  • CVE-2024-26234
    (puntuación CVSS: 6,7): vulnerabilidad de suplantación de identidad del
    controlador proxy
  • CVE-2024-29988
    (puntuación CVSS: 8,8) – Vulnerabilidad de omisión de función de seguridad
    de solicitud de SmartScreen
En total, la versión se destaca por abordar hasta 68 ejecuciones remotas de código, 31 escalamiento de privilegios, 26 omisiones de funciones de seguridad y seis errores de denegación de servicio (DoS). Se destacan además:
  • 24 fallos en Secure Boot. Esto permite eludir los mecanismos de seguridad de arranque manipulando la UEFI. 
  • Una actualización masiva  de 40 parches en Microsoft OLE Driver for SQL Server. Todas importantes. Afectan al cliente, que podría ser engañado para conectarse a otro servidor. 
  • 7 fallas importantes en el servidor DNS de Microsoft.
  • 6 fallos que permiten ejecución remota en Microsoft Defender para IoT, tres importantes y tres críticos. 
  • Un fallo en Outlook fácil de explotar, que permite explotar la técnica de «pass the hash» a un tercero, y por otro lado se añade otro problema (ya habitual) para eludir SmartScreen.
Si bien el propio aviso de Microsoft no proporciona información sobre
CVE-2024-26234, la empresa de ciberseguridad
Sophos dijo que descubrió
en diciembre de 2023 un ejecutable malicioso («Catalog.exe» o «Servicio
de cliente de autenticación de catálogo»)
firmado
por un certificado de editor de compatibilidad de hardware de Microsoft
Windows válido. (WHCP).

El
análisis de Authenticode del binario
ha revelado que el editor solicitante original es Hainan YouHu Technology Co.
Ltd, que también es el editor de otra herramienta llamada LaiXi Android Screen
Mirroring. Este último se describe como
«un software de marketing… [que] puede conectar cientos de teléfonos
móviles y controlarlos en lotes, y automatizar tareas como seguir lotes, dar
me gusta y comentar».

Dentro del supuesto servicio de autenticación hay un componente llamado
3proxy
que está diseñado para monitorear e interceptar el tráfico de red en un
sistema infectado, actuando efectivamente como una puerta trasera.

La compañía de ciberseguridad también dijo que descubrió muchas otras
variantes de la puerta trasera en estado salvaje desde el 5 de enero de 2023,
lo que indica que la campaña ha estado en marcha al menos desde entonces.
Desde entonces, Microsoft ha agregado los archivos relevantes a su lista de
revocación.

La otra falla de seguridad que, según se informa, ha sido objeto de ataque
activo es CVE-2024-29988, que, al igual que CVE-2024-21412 y CVE-2023-36025,
permite a los atacantes eludir las protecciones de Microsoft Defender
Smartscreen al abrir un archivo especialmente diseñado.

«Para explotar esta característica de seguridad y evitar la vulnerabilidad,
un atacante necesitaría convencer a un usuario para que inicie archivos
maliciosos utilizando una aplicación de inicio que solicite que no se
muestre ninguna interfaz de usuario», dijo Microsoft.
«En un escenario de ataque por correo electrónico o mensajes instantáneos,
el atacante podría enviar al usuario objetivo un archivo especialmente
diseñado para explotar la vulnerabilidad de ejecución remota de código».

La
Zero Day Initiativereveló
que hay evidencia de que la falla está siendo explotada en la naturaleza,
aunque Microsoft la ha etiquetado con una evaluación de «Explotación más
probable».

Otra vulnerabilidad de importancia es
CVE-2024-29990
(puntuación CVSS: 9,0), una falla de elevación de privilegios que afecta al
contenedor confidencial del servicio Microsoft Azure Kubernetes y que podría
ser explotada por atacantes no autenticados para robar credenciales.
«Un atacante puede acceder al nodo AKS Kubernetes que no es de confianza y
al contenedor confidencial AKS para apoderarse de invitados y contenedores
confidenciales más allá de la pila de red a la que podría estar
vinculado», dijo Redmond.

La divulgación se produce cuando
Microsoft ha enfrentado críticas
por sus prácticas de seguridad, con un informe reciente de la Junta de
Revisión de Seguridad Cibernética (CSRB) de EE.UU. denunciando a la compañía
por no hacer lo suficiente para prevenir una campaña de ciberespionaje
orquestada por un actor de amenazas chino rastreado como Storm0558 el año
pasado.

También sigue a la decisión de la compañía de
publicar datos de la causa raíz de las fallas
de seguridad utilizando el estándar industrial Common Weakness Enumeration
(CWE). Sin embargo, vale la pena señalar que los cambios solo entran en vigor
a partir de los avisos publicados desde marzo de 2024.

«La adición de evaluaciones CWE a los avisos de seguridad de Microsoft
ayuda a identificar la causa raíz genérica de una vulnerabilidad», dijo Adam Barnett, ingeniero de software líder en Rapid7. El programa CWE
ha actualizado recientemente su guía sobre cómo
asignar CVE a una causa raíz de CWE.

El análisis de las tendencias de CWE puede ayudar a los desarrolladores a
reducir los sucesos futuros a través de pruebas y flujos de trabajo mejorados
del ciclo de vida del desarrollo de software (SDLC), además de ayudar a los
defensores a comprender hacia dónde dirigir esfuerzos de defensa en
profundidad y refuerzo del despliegue para obtener el mejor retorno de la
inversión.

La firma de ciberseguridad Varonis
detalló dos métodos
que los atacantes podrían adoptar para eludir los registros de auditoría y
evitar desencadenar eventos de descarga mientras extraen archivos de
SharePoint.

El primer enfoque aprovecha la función «Abrir en la aplicación» de SharePoint
para acceder y descargar archivos, mientras que el segundo utiliza el
User-Agent para Microsoft SkyDriveSync para descargar archivos o incluso
sitios completos mientras clasifica erróneamente eventos como sincronizaciones
de archivos en lugar de descargas.

Microsoft, que tuvo conocimiento de los problemas en noviembre de 2023, aún no
ha publicado una solución, aunque se han agregado a su programa de parches
pendientes. Mientras tanto, se recomienda a las organizaciones que supervisen
de cerca sus registros de auditoría para detectar eventos de acceso
sospechosos, específicamente aquellos que involucran grandes volúmenes de
descargas de archivos en un período corto.

Parches para otras aplicaciones

Fuente:
THN



Source link

bl0ckch41nnews
También podría gustarte Más del autor

Los comentarios están cerrados.