Microsoft ha publicado 85 actualizaciones de seguridad para vulnerabilidades en su Patch Tuesday de agosto de 2024. Entre ellas se incluyen seis 0 day activamente explotados (CVE-2024-38213, CVE-2024-38193, CVE-2024-38189, CVE-2024-38178, CVE-2024-38107, CVE-2024-38106).
Entre las actualizaciones se encuentra la corrección de una de las vulnerabilidades relacionadas con un ataque de «degradación» (CVE-2024-21302). Seis de las vulnerabilidades se consideran de gravedad Crítica, mientras que las 79 restantes se consideran Importantes o Moderadas.
Agosto 2024 Análisis de riesgos
El principal tipo de riesgo de este mes es la elevación de privilegios (37%), seguido de la ejecución remota de código (35%) y la revelación de información (8%).
Los productos de Windows fueron los que más parches recibieron este mes, con 43, seguidos de Extended Security Update (ESU), con 21, y Microsoft Office, con 8.
Vulnerabilidad de día cero explotada activamente en Microsoft Project
Microsoft Project recibió un parche para CVE-2024-38189, que tiene una gravedad de Importante y una puntuación CVSS de 8,8. Esta vulnerabilidad permite a un atacante realizar la ejecución remota de código convenciendo a la víctima para que haga clic en un enlace o abra un archivo malicioso. Microsoft aconseja a los clientes que bloqueen la ejecución de macros en los productos de Office y activen las notificaciones.
| Severity | CVSS Score | CVE | Description |
| Important | 8.8 | CVE-2024-38189 | Microsoft Project Remote Code Execution Vulnerability |
Vulnerabilidades 0 day explotadas activamente en el controlador de funciones auxiliares de Windows para WinSock
Windows Ancillary Function Driver for WinSock recibió un parche para CVE-2024-38193, con una gravedad de Importante y una puntuación CVSS de 7,8. Estas vulnerabilidades de elevación de privilegios permiten a un atacante con autenticación de bajo nivel elevar el acceso para obtener privilegios de SYSTEM.
Windows Ancillary Function Driver for WinSock se encarga principalmente de gestionar funciones relacionadas con la red. Normalmente, este tipo de vulnerabilidades se encadenan con vulnerabilidades de ejecución remota de código para comprometer los sistemas. Los detalles de la vulnerabilidad, incluida la prueba de concepto para explotarla, no han sido revelados públicamente por Microsoft.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2024-38193 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability |
Vulnerabilidades 0 day explotadas activamente en Windows Power Dependency Coordinator
Windows Power Dependency Coordinator recibió un parche para CVE-2024-38107, con una gravedad de Importante y una puntuación CVSS de 7,8. Esta vulnerabilidad de elevación de privilegios permite a un atacante con autenticación de bajo nivel elevar el acceso para obtener privilegios de SYSTEM. El ataque se centra en la gestión de estados de energía, como las funciones sleep y wake de Windows. Normalmente, este tipo de vulnerabilidades se encadenan con vulnerabilidades de ejecución remota de código para comprometer sistemas. Los detalles de la vulnerabilidad, incluida la prueba de concepto para explotarla, no han sido revelados públicamente por Microsoft.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2024-38107 | Windows Power Dependency Coordinator Elevation of Privilege Vulnerability |
Vulnerabilidad 0 day explotada activamente en el motor de scripting
Scripting Engine recibió un parche para CVE-2024-38178, que tiene una gravedad de Importante y una puntuación CVSS de 7,5. Esta vulnerabilidad requiere que un usuario autenticado esté utilizando Edge en modo Internet Explorer y haga clic en una URL comprometida. Esto permite a un atacante no autenticado iniciar la ejecución remota de código.
| Severity | CVSS Score | CVE | Description |
| Important | 7.5 | CVE-2024-38178 | Scripting Engine Memory Corruption Vulnerability |
Vulnerabilidad 0 day explotada activamente en el kernel de Windows
El kernel de Windows recibió un parche para CVE-2024-38106, que tiene una gravedad de Importante y una puntuación CVSS de 7,0. Se trata de una vulnerabilidad de elevación de privilegios que conduce a privilegios de SYSTEM. Este ataque es muy complejo y requiere que el atacante gane una condición de carrera (modificación de los tiempos de ejecución); sin embargo, algunas condiciones de carrera pueden ser más fáciles que otras. Los detalles de la vulnerabilidad, incluida una prueba de concepto, no han sido revelados públicamente por Microsoft.
| Severity | CVSS Score | CVE | Description |
| Important | 7.0 | CVE-2024-38106 | Windows Kernel Elevation of Privilege Vulnerability |
Vulnerabilidad 0 day explotada activamente en Windows Mark of the Web Security
Windows Mark of the Web Security recibió un parche para CVE-2024-38213, que tiene una gravedad de Importante y una puntuación CVSS de 6,5. Una vulnerabilidad en el SmartScreen de Windows Defender permite a un atacante eludir las advertencias de seguridad cuando se descarga un archivo malicioso. Esta función de seguridad ha sido eludida en múltiples ocasiones a lo largo de los años (marzo de 2023, julio de 2023, noviembre de 2023, febrero de 2024), lo que la convierte en un objetivo principal para los actores de amenazas que la utilizan en ataques de phishing.
| Severity | CVSS Score | CVE | Description |
| Moderate | 6.5 | CVE-2024-38213 | Windows Mark of the Web Security Feature Bypass Vulnerability |
Vulnerabilidades críticas en Windows Network Virtualization, TCP/IP, Reliable Multicast Transport Driver, Azure Health Bot y Secure Boot
CVE-2024-38063 es una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a Windows TCP/IP y tiene una puntuación CVSS de 9,8. La explotación de esta vulnerabilidad permite a un atacante ejecutar código de forma remota. Microsoft no ha proporcionado más detalles, pero sugiere desactivar IPv6, ya que sólo se puede abusar de los paquetes IPv6 para explotar esta vulnerabilidad. La complejidad del ataque es baja, y la explotación es más probable, según Microsoft.
CVE-2024-38140 es una vulnerabilidad RCE crítica que afecta a Windows Reliable Multicast Transport Driver (RMCAST) y tiene una puntuación CVSS de 9,8. La vulnerabilidad sólo es explotable si hay un programa escuchando en un puerto Pragmatic General Multicast (PGM). Si PGM está instalado o habilitado, pero no hay ningún programa activo escuchando, entonces esta vulnerabilidad no es explotable. La mayoría de las organizaciones tienen controles (por ejemplo, un cortafuegos) para proteger el acceso a cualquier puerto a nivel de red.
CVE-2024-38109 es una vulnerabilidad crítica de elevación de privilegios que afecta a Azure Health Bot y tiene una puntuación CVSS de 9.1. Esta vulnerabilidad permite a un atacante acceder al servicio de metadatos interno de Azure (IMDS) utilizando la falsificación de peticiones del lado del servidor (SSRF). La explotación exitosa de esta vulnerabilidad permite al atacante obtener privilegios elevados sobre la red.
CVE-2024-38159 y CVE-2024-38160 son vulnerabilidades RCE críticas que afectan a Windows Network Virtualization, y ambas tienen una puntuación CVSS de 9,1. La explotación exitosa de estas vulnerabilidades podría permitir al atacante interactuar con las aplicaciones y contenidos de otros inquilinos. Esto sólo puede lograrse con un alto nivel de control sobre la máquina. Microsoft ha proporcionado factores de mitigación para asegurar con éxito las máquinas virtuales, como la importancia de Hyper-V en las infraestructuras de virtualización.
CVE-2023-40547 es una vulnerabilidad RCE crítica que afecta a Secure Boot y tiene una puntuación CVSS de 8,8. Microsoft ha incluido esta vulnerabilidad ya que ha estado muy involucrado en el desarrollo e implementación de un estándar de seguridad en Secure Boot. Secure Boot está diseñado para evitar que se ejecute código no autorizado durante el proceso de arranque, garantizando que sólo se ejecute software firmado por claves de confianza. Esta vulnerabilidad concreta supone un riesgo para la integridad de Secure Boot y Microsoft aplicará una actualización de Secure Boot Advanced Targeting (SBAT) para bloquear los cargadores de arranque Linux vulnerables que podrían afectar a la seguridad de Windows.
| Severity | CVSS Score | CVE | Description |
| Critical | 9.8 | CVE-2024-38063 | Windows TCP/IP Remote Code Execution Vulnerability |
| Critical | 9.8 | CVE-2024-38140 | Windows Reliable Multicast Transport Driver (RMCAST) Remote Code Execution Vulnerability |
| Critical | 9.1 | CVE-2024-38109 | Azure Health Bot Elevation of Privilege Vulnerability |
| Critical | 9.1 | CVE-2024-38159 | Windows Network Virtualization Remote Code Execution Vulnerability |
| Critical | 9.1 | CVE-2024-38160 | Windows Network Virtualization Remote Code Execution Vulnerability |
| Critical | 8.8 | CVE-2023-40547 | Redhat: CVE-2023-40547 Shim – RCE in HTTP boot support may lead to secure boot bypass |
Vulnerabilidades con PoC existente en Windows Line Printer Daemon (LPD) Service, Windows Update Stack y Windows Secure Kernel Mode
CVE-2024-38199 es una vulnerabilidad RCE importante que afecta a Windows Line Printer Daemon (LPD) y tiene una puntuación CVSS de 9,8. Un atacante no autenticado que envíe tareas de impresión especialmente diseñadas a un servicio compartido vulnerable de Windows Line Printer Daemon (LPD) podría dar lugar a la ejecución remota de código. La buena noticia es que Microsoft ha obviado LPD desde Windows Server 2012, y no está instalado o habilitado por defecto.
CVE-2024-38202 es una vulnerabilidad importante de elevación de privilegios que afecta a Windows Update Stack y tiene una puntuación CVSS de 7,3. Microsoft fue notificado de una vulnerabilidad de elevación de privilegios en Windows Backup. Esta vulnerabilidad podría permitir a un atacante con privilegios de usuario básicos reintroducir vulnerabilidades parcheadas previamente o eludir algunas funciones de la seguridad basada en virtualización (VBS).
Aunque no se han conocido intentos de explotar estas vulnerabilidades a día de hoy, una presentación pública en Black Hat USA 2024 («Windows Downdate: Downgrade Attacks Using Windows Updates» por SafeBreach) mostró su uso en una cadena de vulnerabilidades con el fin de comprometer un sistema. Debido a la complejidad del ataque, todavía no hay actualizaciones de seguridad para mitigar esta amenaza. Microsoft ha publicado un aviso con acciones recomendadas para ayudar a reducir el riesgo de explotación hasta que la actualización de seguridad esté disponible.
CVE-2024-21302 es una importante vulnerabilidad de elevación de privilegios que afecta al modo de kernel seguro de Windows y tiene una puntuación CVSS de 6,7. Microsoft fue notificado de una vulnerabilidad de elevación de privilegios en modo kernel seguro en sistemas basados en Windows que soportan VBS. Esta vulnerabilidad podría permitir a un atacante con privilegios de administrador sustituir las versiones actuales de los archivos de sistema de Windows por versiones obsoletas. Aunque no se conocen intentos de explotar esta vulnerabilidad en la naturaleza, la misma presentación de Black Hat mencionada anteriormente mostraba su uso en una cadena de vulnerabilidades para comprometer un sistema. Microsoft ha publicado una actualización de seguridad que incluye mitigaciones de la política de revocación para solucionar esta vulnerabilidad. Microsoft anima a los clientes que utilicen las versiones afectadas de Windows a revisar el aviso y la base de conocimientos.
| Severity | CVSS Score | CVE | Description |
| Important | 9.8 | CVE-2024-38199 | Windows Line Printer Daemon (LPD) Service Remote Code Execution Vulnerability |
| Important | 7.3 | CVE-2024-38202 | Windows Update Stack Elevation of Privilege Vulnerability |
| Important | 6.7 | CVE-2024-21302 | Windows Secure Kernel Mode Elevation of Privilege Vulnerability |