Microsoft ha publicado actualizaciones de seguridad para 79 vulnerabilidades en su lanzamiento del Patch Tuesday de septiembre de 2024.
Entre ellas se incluyen cuatro 0 day activamente explotados (CVE-2024-38014, CVE-2024-38217, CVE-2024-38226, CVE-2024-43491). Siete de las vulnerabilidades están clasificadas como Críticas, mientras que las 72 restantes están clasificadas como Importantes o Moderadas.
Septiembre 2024 Análisis de riesgos
El principal tipo de riesgo de este mes es la elevación de privilegios (38%), seguido de la ejecución remota de código (29%) y la revelación de información (14%).
Los productos Windows fueron los que más parches recibieron este mes, con 46, seguidos de Extended Security Update (ESU), con 23, y Microsoft SQL Server, con 13.
Vulnerabilidad de 0 day explotada activamente en Microsoft Windows Update
Microsoft Windows Update received a patch for CVE-2024-43491, which has a severity of Critical and a CVSS score of 9.8. Microsoft has identified a remote code execution (RCE) vulnerability in the Servicing Stack that reverses previously implemented fixes and mitigations, effectively undoing earlier security patches. This vulnerability allows attackers to exploit these previously mitigated vulnerabilities on Windows 10 version 1507 systems that have installed the Windows security update KB5035858 or other updates released through August 2024. Later versions of Windows 10 are not impacted by this vulnerability. The issue only affects Windows 10 Enterprise 2015 LTSB and Windows 10 IoT Enterprise 2015 LTSB.
| Severity | CVSS Score | CVE | Description |
| Critical | 9.8 | CVE-2024-43491 | Microsoft Windows Update Remote Code Execution Vulnerability |
Vulnerabilidades 0 day explotadas activamente en Windows Installer
Windows Installer recibió un parche para CVE-2024-38014, con una gravedad de Importante y una puntuación CVSS de 7,8. Un atacante que explote esta vulnerabilidad podría obtener privilegios a nivel de SYSTEM, permitiendo el control completo del sistema afectado. Según Microsoft, la PoC para explotar la vulnerabilidad aún no está disponible públicamente.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2024-38193 | Windows Installer Elevation of Privilege Vulnerability |
Vulnerabilidades 0 day explotadas activamente en Windows Publisher
Windows Publisher recibió un parche para CVE-2024-38226, con una gravedad de Importante y una puntuación CVSS de 7,3. Un atacante autenticado podría explotar esta vulnerabilidad engañando a un visitante web para que descargue y abra un archivo especialmente diseñado desde un sitio web. Si tiene éxito, el atacante podría eludir las políticas de macros de Office diseñadas para bloquear archivos no fiables o maliciosos. Este ataque local requiere ingeniería social para convencer a la víctima de que interactúe con el archivo malicioso en su propio ordenador, comprometiendo potencialmente la seguridad del sistema.
| Severity | CVSS Score | CVE | Description |
| Important | 7.3 | CVE-2024-38226 | Microsoft Publisher Security Feature Bypass Vulnerability |
Vulnerabilidad 0 day explotada activamente en Windows Mark of the Web
Windows Mark of the Web (MOTW), una herramienta que evalúa la seguridad de los archivos descargados de la web, recibió un parche para CVE-2024-38217, que tiene una gravedad de Importante y una puntuación CVSS de 5,4. Un atacante podría crear un archivo que evadiera las defensas MOTW en el sistema del usuario final, desactivando potencialmente las funciones de seguridad SmartScreen y Windows Attachment Services. Esto podría comprometer la integridad del sistema y reducir la eficacia de estas medidas de protección. Esta característica de seguridad ha sido eludida en múltiples ocasiones a lo largo de los años (marzo de 2023, julio de 2023, noviembre de 2023, febrero de 2024, agosto de 2024), lo que la convierte en un objetivo principal para los actores de amenazas que la utilizan en ataques de phishing. Según Microsoft, aún no se ha hecho público un kit de prueba de concepto para explotar la vulnerabilidad.
| Severity | CVSS Score | CVE | Description |
| Important | 5.4 | CVE-2024-38217 | Windows Mark of the Web Security Feature Bypass Vulnerability |
Vulnerabilidades críticas en Windows, SharePoint y Azure
CVE-2024-43491 es una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a Windows Update y tiene una puntuación CVSS de 9,8. La explotación exitosa de esta vulnerabilidad permite a un atacante ejecutar código de forma remota. Los detalles fueron cubiertos en la sección «Actively Exploited 0 day Vulnerability in Microsoft Windows Update».
CVE-2024-38220 es una vulnerabilidad RCE crítica que afecta a Azure Stack Hub y tiene una puntuación CVSS de 9,0. Esta vulnerabilidad podría permitir a un atacante obtener acceso no autorizado a las aplicaciones y contenidos de otros inquilinos de la nube Azure. Un exploit exitoso podría otorgar al atacante acceso a los recursos del sistema con los mismos privilegios que el proceso comprometido, permitiendo potencialmente una penetración más profunda del sistema y acciones no autorizadas a través de la red. Para explotar esta vulnerabilidad, un atacante autenticado tendría que esperar a que un usuario víctima iniciara una conexión con ese arrendatario de la nube Azure.
CVE-2024-38018 es una vulnerabilidad RCE crítica que afecta a Microsoft SharePoint Server y tiene una puntuación CVSS de 8,8. Un atacante autenticado con al menos permisos de nivel Site Member podría ejecutar código de forma remota en el SharePoint Server a través de un ataque basado en red. Según Microsoft, el kit de prueba de concepto para explotar la vulnerabilidad aún no está disponible públicamente.
CVE-2024-38194 es una vulnerabilidad RCE crítica que afecta a Azure Web Apps y tiene una puntuación CVSS de 8,4. Un actor malicioso con credenciales válidas puede aprovecharse de un defecto de autorización en Azure Web Apps para obtener permisos elevados a través de una red. Microsoft ya ha solucionado completamente esta vulnerabilidad dentro de la infraestructura de Azure, y los usuarios del servicio afectado no necesitan tomar ninguna medida. Esta CVE se publica únicamente para mantener la transparencia sobre el problema y su resolución.
CVE-2024-38216 es una vulnerabilidad RCE crítica que afecta a Azure Stack Hub y tiene una puntuación CVSS de 8,2. Para explotar esta vulnerabilidad, un atacante autenticado debe esperar a que un usuario víctima establezca una conexión. Una vez que tiene éxito, el atacante podría obtener acceso no autorizado a los recursos del sistema, ejecutando potencialmente acciones con privilegios coincidentes con el proceso comprometido. Esta brecha podría conducir a una mayor infiltración en el sistema, actividades de red no autorizadas e incluso la capacidad de interactuar con aplicaciones y contenidos de otros inquilinos.
CVE-2024-38119 es una vulnerabilidad crítica de elevación de privilegios que afecta a Windows Network Address Translation (NAT) y tiene una puntuación CVSS de 7.5. La explotación de esta vulnerabilidad requiere que el atacante rompa inicialmente el perímetro protegido de la red. Además, el atacante necesita ganar con éxito una condición de carrera contra el flujo de ejecución normal del programa o sistema para completar el proceso de explotación. Estos requisitos añaden capas de complejidad al ataque, limitando potencialmente su viabilidad. Por el momento, Microsoft afirma que la prueba de concepto aún no está disponible.
CVE-2024-43464 es una vulnerabilidad crítica de elevación de privilegios que afecta a Microsoft SharePoint Server y tiene una puntuación CVSS de 7,2. Un atacante con privilegios de Site Owner o superiores puede aprovechar esta vulnerabilidad cargando un archivo malintencionado en el servidor SharePoint de destino y enviando solicitudes de API especialmente diseñadas al servidor SharePoint de destino. Este proceso desencadena la deserialización de los parámetros del archivo, lo que permite al atacante inyectar y ejecutar código arbitrario en el servidor SharePoint, logrando así la ejecución remota de código. Por el momento, Microsoft afirma que la prueba de concepto aún no está disponible.
| Severity | CVSS Score | CVE | Description |
| Critical | 9.8 | CVE-2024-43491 | Microsoft Windows Update Remote Code Execution Vulnerability |
| Critical | 9.0 | CVE-2024-38220 | Azure Stack Hub Elevation of Privilege Vulnerability |
| Critical | 8.8 | CVE-2024-38018 | Microsoft SharePoint Server Remote Code Execution Vulnerability |
| Critical | 8.4 | CVE-2024-38194 | Azure Web Apps Elevation of Privilege Vulnerability |
| Critical | 8.2 | CVE-2024-38216 | Azure Stack Hub Elevation of Privilege Vulnerability |
| Critical | 7.5 | CVE-2024-38119 | Windows Network Address Translation (NAT) Remote Code Execution Vulnerability |
| Critical | 7.2 | CVE-2024-43464 | Microsoft SharePoint Server Remote Code Execution Vulnerability |