Microsoft ha publicado actualizaciones de seguridad para 158 vulnerabilidades en su lanzamiento del martes de parches de noviembre de 2024.
Entre ellas se encuentran cuatro vulnerabilidades críticas (CVE-2024-43625, CVE-2024-49056, CVE-2024-43498 y CVE-2024-43639).
De estas vulnerabilidades, CVE-2024-49056 ha sido completamente mitigada por Microsoft y no requiere ninguna acción por parte del cliente en este momento. Además, se han identificado tres 0 day (CVE-2024-43451, CVE-2024-49040, CVE-2024-49019).
Noviembre de 2024 Análisis de riesgos
El principal tipo de riesgo de este mes es la ejecución remota de código (59%), seguido de la elevación de privilegios (29%).
Microsoft CBL-Mariner (la distribución Linux de Microsoft para entornos Azure) fue la que más parches recibió este mes, con 70, seguida de Windows (37) y Microsoft SQL Server (31). Puede encontrar información para administrar Microsoft CBL-Mariner aquí.
Microsoft revela una vulnerabilidad en airlift.microsoft.com
En un esfuerzo por proporcionar transparencia adicional a los servicios alojados por Microsoft, Microsoft ha revelado una vulnerabilidad crítica de escalada de privilegios en airlift.microsoft.com (CVE-2024-49056). Esta vulnerabilidad ha sido completamente mitigada por Microsoft y no requiere la interacción del cliente. Microsoft ha declarado que está comprometido con la transparencia y ha creado una nueva clasificación de vulnerabilidad que no requiere la interacción del cliente. Puede encontrar más información sobre este compromiso aquí.
Dos días cero en Microsoft Windows
CVE-2024-49019 es una importante vulnerabilidad de escalada de privilegios dentro de la plataforma de servicios de certificados de Active Directory. Esta plataforma es responsable de la emisión y gestión de la Infraestructura de Clave Pública (PKI). Puede encontrar más información sobre este servicio aquí.
Esta vulnerabilidad puede permitir a un atacante obtener privilegios de administrador de dominio. Este es uno de los niveles más altos de privilegio disponibles en Active Directory. Sólo los certificados generados utilizando una plantilla de la versión 1 con un campo de fuente de nombre de asunto establecido en «Suministrado en la solicitud» son utilizables para este ataque. Además, el sitio víctima debe tener permisos de Enroll demasiado amplios. Microsoft recomienda eliminar los permisos Autoenroll y auditar los sitios para garantizar el mínimo privilegio.
CVE-2024-43451 es una importante vulnerabilidad de suplantación de identidad en el sistema de gestión NTLM de Windows. Esta vulnerabilidad expone el hash NTLM de la víctima a los adversarios, permitiéndoles suplantar la identidad de la víctima. Esta vulnerabilidad puede ser explotada por el usuario seleccionando (un solo clic), inspeccionando (clic derecho) o realizando alguna otra acción que no sea abrir el archivo malicioso.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2024-49019 | Active Directory Certificate Services Elevation of Privilege Vulnerability |
| Important | 6.5 | CVE-2024-43451 | NTLM Hash Disclosure Spoofing Vulnerability |
Un día cero en Microsoft Exchange Server
CVE-2024-49040 es una importante vulnerabilidad de suplantación de identidad en la que un atacante puede eludir las actuales protecciones de suplantación de identidad en Exchange mediante el uso de una cabecera P2 FROM no conforme. Esta cabecera es responsable de garantizar la integridad del remitente de un correo electrónico. Una vez actualizado, el servidor Exchange marcará como sospechosa cualquier cabecera P2 FROM que no cumpla la normativa. Puede encontrar más información sobre esta vulnerabilidad aquí.
| Severity | CVSS Score | CVE | Description |
| Important | 7.5 | CVE-2024-49040 | Microsoft Exchange Server Spoofing Vulnerability |
Dos vulnerabilidades críticas en Microsoft Windows
CVE-2024-43639 es una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a Microsoft Windows Kerberos y tiene una puntuación CVSS de 9,8. La explotación exitosa de esta vulnerabilidad permitiría a un atacante remoto no autenticado utilizar un paquete especialmente diseñado para aprovechar un protocolo criptográfico dentro de Windows Kerberos para permitir RCE. Debido a la gravedad de esta vulnerabilidad, la aplicación de parches debe ser una prioridad.
CVE-2024-43625 es una vulnerabilidad Crítica de escalada de privilegios dentro de la funcionalidad VMSwitch de Hyper-V con una puntuación CVSS de 8.1. Esta vulnerabilidad podría permitir a un atacante sin privilegios dentro de un host Hyper-V con privilegios bajos atravesar el límite de seguridad para ejecutar código dentro del entorno de ejecución de Hyper-V. En particular, Microsoft afirma que esta vulnerabilidad no se encuentra en System Center Virtual Machine Manager. Esta vulnerabilidad tiene un requisito de alta complejidad, que requiere una cantidad significativa de información sobre el entorno operativo del host Hyper-V víctima.
| Severity | CVSS Score | CVE | Description |
| Critical | 9.8 | CVE-2024-43639 | Windows Kerberos Remote Code Execution Vulnerability |
| Critical | 8.1 | CVE-2024-43625 | Microsoft Windows VMSwitch Elevation of Privilege Vulnerability |
Una vulnerabilidad crítica en .Net y Visual Studio Code
CVE-2024-43498 es una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a Microsoft .Net y Visual Studio Code y tiene una puntuación CVSS de 9,8. La explotación satisfactoria de esta vulnerabilidad permitiría a un atacante remoto no autenticado utilizar una solicitud especialmente diseñada para una aplicación web .Net vulnerable o cargar un archivo especialmente diseñado en una aplicación de escritorio vulnerable (Visual Studio Code).
| Severity | CVSS Score | CVE | Description |
| Critical | 9.8 | CVE-2024-43498 | .NET and Visual Studio Remote Code Execution Vulnerability |