Η Microsoft lanzó actualizaciones de seguridad para el mes de abril de 2024 para corregir un registro 149 defectos , dos de los cuales han sido explotados activamente en estado salvaje.
De los 149 defectos, tres están clasificados como críticos, 142 como importantes, tres como moderados y uno como de baja gravedad. La actualización está fuera de discusión. 21 vulnerabilidades que enfrenta la compañía en su navegador Edge basado en Chromium después del lanzamiento de de las correcciones del parche del martes de marzo de 2024 .
Las dos deficiencias que se han explotado activamente son las siguientes:
- CVE-2024-26234 (Puntuación CVSS: 6,7) – Vulnerabilidad de suplantación de controlador proxy
- CVE-2024-29988 (Puntuación CVSS: 8,8) – Las funciones de seguridad de SmartScreen Prompt evitan la vulnerabilidad
Si bien el aviso de Microsoft no proporciona información sobre el CVE-2024-26234, la empresa cibernéticaseguridadSophos dijo que descubrió en diciembre de 2023 un ejecutable malicioso (“Catalog.exe” o “Servicio de cliente de autenticación de catálogo”) que es firmado de un editor válido de compatibilidad de hardware de Microsoft Windows ( WHCP ) certificado.
El análisis de Authenticode del binario reveló el editor solicitante original a Hainan YouHu Technology Co. Ltd, que también publica otra herramienta llamada LaiXi Android Screen Mirroring.
Este último se describe como "un software de marketing... [que] puede conectar cientos de teléfonos móviles y controlarlos en lotes y automatizar tareas como seguir grupos, dar me gusta y comentar".
Dentro del supuesto servicio de autenticación hay un componente llamado 3proxy que está diseñado para monitorear e interceptar el tráfico de red en un sistema infectado, actuando efectivamente como una puerta trasera.
"No tenemos evidencia que sugiera que los desarrolladores de LaiXi integraron intencionalmente el archivo malicioso en su producto, o que un actor de amenazas realizó un ataque a la cadena de suministro para inyectarlo en el proceso de creación/construcción de la aplicación LaiXi". él dijo Andreas Klopsch, investigador de Sophos. .
La compañía de ciberseguridad también dijo que descubrió varias otras variantes de la puerta trasera en estado salvaje antes del 5 de enero de 2023, lo que indica que la campaña ha estado en marcha al menos desde entonces. Desde entonces, Microsoft ha agregado los archivos relevantes a su lista de recuperación.
"Para explotar esta característica de seguridad y evitar la vulnerabilidad, un atacante tendría que convencer a un usuario para que inicie archivos maliciosos utilizando un iniciador que solicite que no se muestre ninguna interfaz de usuario", dijo Microsoft.
"En un escenario de ataque por correo electrónico o mensajería instantánea, un atacante podría enviar al usuario objetivo un archivo especialmente diseñado para explotar la vulnerabilidad de ejecución remota de código".
La iniciativa del día cero revelado que hay evidencia de explotación de la falla en la naturaleza, aunque Microsoft la ha marcado con una calificación de “Explotación más probable”.
Otro tema importante es la vulnerabilidad. CVE-2024-29990 (Puntuación CVSS: 9.0), una falla de elevación de privilegios que afecta al contenedor confidencial del servicio Microsoft Azure Kubernetes y que podría ser aprovechada por atacantes no autenticados para robar credenciales.
"Un atacante puede acceder al nodo AKS Kubernetes que no es de confianza y al contenedor confidencial AKS para apoderarse de invitados y contenedores confidenciales más allá de la pila de red a la que puedan estar vinculados", dijo Redmond.
En general, la versión se destaca por abordar hasta 68 ejecuciones remotas de código, 31 escaladas de privilegios, 26 omisiones de funciones de seguridad y seis errores de denegación de servicio (DoS). Curiosamente, 24 de los 26 errores de omisión de seguridad están relacionados con el arranque seguro.
“Aunque ninguna de estas vulnerabilidades Comienza segura abordados este mes no fueron explotados en la naturaleza, sirven como recordatorio de que aún existen fallas en Secure Boot y que podríamos ver más actividad maliciosa relacionada con Secure Boot en el futuro”, dijo Satnam Narang, ingeniero senior de investigación de Tenable, dijo en una declaración.
La revelación llega cuando Microsoft enfrentar las críticas sobre sus prácticas de seguridad, con un informe reciente de la Junta de Revisión ciberseguridad(CSRB) criticando a la compañía por no hacer lo suficiente para prevenir una campaña de ciberespionaje orquestada por un actor de amenazas chino identificado como Storm. -0558 el año pasado.
También sigue la decisión de la empresa de publicar datos de causa raíz para detectar fallas de seguridad utilizando el estándar industrial Common Weakness Enumeration (CWE). Sin embargo, vale la pena señalar que los cambios solo se aplican a partir de los avisos publicados a partir de marzo de 2024.
"Agregar evaluaciones CWE al aviso de seguridad de Microsoft ayuda a identificar la causa raíz general de una vulnerabilidad", dijo Adam Barnett, ingeniero de software líder en Rapid7, en un comunicado compartido con The Hacker News.
“El programa CWE actualizó recientemente su guía sobre mapeo de CVE a una causa raíz de CWE . El análisis de las tendencias de CWE puede ayudar a los desarrolladores a reducir los sucesos futuros a través de flujos de trabajo y pruebas mejorados del ciclo de vida del desarrollo de software (SDLC), además de ayudar a los defensores a comprender dónde dirigir los esfuerzos de defensa en profundidad y fortalecer el desarrollo para un mejor retorno de la inversión".
En un desarrollo relacionado, la firma de ciberseguridad Varonis expuso dos métodos que los atacantes podrían adoptar para eludir los registros de auditoría y evitar desencadenar eventos de descarga al exportar archivos desde SharePoint.
El primer enfoque aprovecha la función "Abrir en la aplicación" de SharePoint para acceder y descargar archivos, mientras que el segundo utiliza el agente de usuario de Microsoft SkyDriveSync para descargar archivos o incluso sitios completos, clasificando erróneamente eventos como sincronizaciones de archivos en lugar de descargas.
"Estas técnicas pueden eludir las políticas de detección y aplicación de herramientas tradicionales, como los agentes de seguridad de acceso a la nube, la prevención de pérdida de datos y SIEM, al disfrazar las descargas como eventos de sincronización y acceso menos sospechosos". él dijo Eric Saraga.
Correcciones de software de terceros
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para corregir varias vulnerabilidades, entre ellas:
- adobe
- AMD
- Android
- Seguridad XML de Apache para C++
- Aruba Networks
- Hechos
- Bosch
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Chrome
- Google Cloud
- Google Pixel
- Hikvision
- energía hitachi
- HP
- Empresa de HP
- HTTP / 2
- IBM
- Ivanta
- Jenkins
- Lenovo
- sistema operativo LG
- Distribuciones de Linux Debian, Oracle Linux, Red Hat, SUSEy Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR y Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Herrumbre
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- Meet
