Volver arriba
viernes, 24 de mayo de 2024
casaOrdenadoresMicrosoft corrige 149 fallas en el lanzamiento masivo de parches de...

Microsoft corrige 149 fallas en el lanzamiento masivo del parche de abril

Η lanzó actualizaciones de seguridad para el mes de abril de 2024 para corregir un registro 149 defectos , dos de los cuales han sido explotados activamente en estado salvaje.

De los 149 defectos, tres están clasificados como críticos, 142 como importantes, tres como moderados y uno como de baja gravedad. La actualización está fuera de discusión. 21 vulnerabilidades que enfrenta la empresa en su navegador Edge basado en Chromium después de la de de las correcciones del parche del martes de marzo de 2024 .

Las dos deficiencias que se han explotado activamente son las siguientes:

  • CVE-2024-26234 (Puntuación CVSS: 6,7) – Vulnerabilidad de suplantación de controlador proxy
  • CVE-2024-29988 (Puntuación CVSS: 8,8) – Las funciones de seguridad de SmartScreen Prompt evitan la vulnerabilidad

Si bien el aviso de Microsoft no proporciona información sobre CVE-2024-26234, la empresa de ciberseguridad Sophos dijo que descubrió en diciembre de 2023 un archivo ejecutable malicioso (“Catalog.exe” o “Catalog Authentication Client Service”) que es firmado de un editor válido de compatibilidad de hardware de Microsoft Windows ( WHCP ) certificado.

El análisis de Authenticode del binario reveló el editor solicitante original a Hainan YouHu Technology Co. Ltd, que también publica otra herramienta llamada LaiXi Android Screen Mirroring.

Este último se describe como "un software de marketing... [que] puede conectar cientos de teléfonos móviles y controlarlos en lotes y automatizar tareas como seguir grupos, dar me gusta y comentar".

Dentro del supuesto servicio de autenticación hay un componente llamado 3proxy que está diseñado para monitorear e interceptar el tráfico de red en un sistema infectado, actuando efectivamente como una puerta trasera.

"No tenemos evidencia que sugiera que los desarrolladores de LaiXi integraron intencionalmente el archivo malicioso en su producto, o que un actor de amenazas realizó un ataque a la cadena de suministro para inyectarlo en el proceso de creación/construcción de la aplicación LaiXi". él dijo Andreas Klopsch, investigador de Sophos. .

La compañía de ciberseguridad también dijo que descubrió varias otras variantes de la puerta trasera en estado salvaje antes del 5 de enero de 2023, lo que indica que la campaña ha estado en marcha al menos desde entonces. Desde entonces, Microsoft ha agregado los archivos relevantes a su lista de recuperación.

La otra falla de seguridad que, según se informa, ha sido atacada activamente es CVE-2024-29988, que, como CVE-2024-21412 και CVE-2023-36025– permite a los atacantes eludir las protecciones Smartscreen de Microsoft Defender al abrir un archivo especialmente diseñado.

"Para explotar esta característica de seguridad y evitar la vulnerabilidad, un atacante tendría que convencer a un usuario para que inicie archivos maliciosos utilizando un iniciador que solicite que no se muestre ninguna interfaz de usuario", dijo Microsoft.

"En un escenario de ataque por correo electrónico o mensajería instantánea, un atacante podría enviar al usuario objetivo un archivo especialmente diseñado para explotar la vulnerabilidad de ejecución remota de código".

La iniciativa del día cero revelado que hay evidencia de explotación de la falla en la naturaleza, aunque Microsoft la ha marcado con una calificación de “Explotación más probable”.

Otro tema importante es la vulnerabilidad. CVE-2024-29990 (Puntuación CVSS: 9.0), una falla de elevación de privilegios que afecta al contenedor confidencial del servicio Microsoft Azure Kubernetes y que podría ser aprovechada por atacantes no autenticados para robar credenciales.

"Un atacante puede acceder al nodo AKS Kubernetes que no es de confianza y al contenedor confidencial AKS para apoderarse de invitados y contenedores confidenciales más allá de la pila de red a la que puedan estar vinculados", dijo Redmond.

En general, la versión se destaca por abordar hasta 68 ejecuciones remotas de código, 31 escaladas de privilegios, 26 omisiones de funciones de seguridad y seis errores de denegación de servicio (DoS). Curiosamente, 24 de los 26 errores de omisión de seguridad están relacionados con el arranque seguro.

“Aunque ninguna de estas vulnerabilidades abordados este mes no fueron explotados en la naturaleza, sirven como recordatorio de que aún existen fallas en Secure Boot y que podríamos ver más actividad maliciosa relacionada con Secure Boot en el futuro”, dijo Satnam Narang, ingeniero senior de investigación de Tenable, dijo en una declaración.

La revelación llega cuando Microsoft enfrentar las críticas por sus prácticas de seguridad, con un informe reciente de la Junta de Revisión de Ciberseguridad de EE. UU. (CSRB) denunciando a la compañía por no hacer lo suficiente para prevenir una campaña de ciberespionaje orquestada por un actor de amenazas chino identificado como Storm. -0558 el año pasado.

También sigue la decisión de la empresa de publicar datos de causa raíz para detectar fallas de seguridad utilizando el estándar industrial Common Weakness Enumeration (CWE). Sin embargo, vale la pena señalar que los cambios solo se aplican a partir de los avisos publicados a partir de marzo de 2024.

"Agregar evaluaciones CWE al aviso de seguridad de Microsoft ayuda a identificar la causa raíz general de una vulnerabilidad", dijo Adam Barnett, ingeniero de software líder en Rapid7, en un comunicado compartido con The Hacker News.

“El programa CWE actualizó recientemente su guía sobre mapeo de CVE a una causa raíz de CWE . El análisis de las tendencias de CWE puede ayudar a los desarrolladores a reducir los sucesos futuros a través de pruebas y flujos de trabajo mejorados del ciclo de vida del desarrollo de software (SDLC), además de ayudar a los defensores a comprender hacia dónde dirigir los esfuerzos. s en profundidad y endureciendo el crecimiento para mejor de la inversión".

En un desarrollo relacionado, la firma de ciberseguridad Varonis expuso dos métodos que los atacantes podrían adoptar para eludir los registros de auditoría y evitar desencadenar eventos de descarga al exportar archivos desde SharePoint.

El primer enfoque aprovecha la función "Abrir en la aplicación" de SharePoint para acceder y descargar archivos, mientras que el segundo utiliza el agente de usuario de Microsoft SkyDriveSync para descargar archivos o incluso sitios completos, clasificando erróneamente eventos como sincronizaciones de archivos en lugar de descargas.

Microsoft, que tuvo conocimiento de los problemas en noviembre de 2023, aún no ha publicado una solución, aunque se han agregado al calendario de parches pendientes. Mientras tanto, se recomienda a las organizaciones que supervisen de cerca los registros de auditoría para detectar eventos de acceso sospechosos, especialmente aquellos que implican grandes volúmenes de descargas de archivos en un corto período de tiempo.

"Estas técnicas pueden eludir las políticas de detección y aplicación de herramientas tradicionales, como los agentes de seguridad de acceso a la nube, la prevención de pérdida de datos y SIEM, al disfrazar las descargas como eventos de sincronización y acceso menos sospechosos". él dijo Eric Saraga.

Correcciones de software de terceros

Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para corregir varias vulnerabilidades, entre ellas:

Marizas Dimitris
Marizas Dimitrishttps://www.techwar.gr
Dimitris, fanático de los teléfonos móviles Samsung, ha desarrollado una relación especial con los productos de la empresa, apreciando el diseño, el rendimiento y la innovación que ofrecen. Escribir y leer noticias tecnológicas de todo el mundo.
ARTÍCULOS RELACIONADOS

DEJA UNA RESPUESTA

ingresa tu comentario!
por favor ingresa tu nombre aquí

Más popular

Ultimos articulos