Microsoft ha lanzado actualizaciones de seguridad para el mes de abril de 2024 para remediar un registro 149 defectosdos de los cuales han sido objeto de explotación activa en estado salvaje.
De los 149 defectos, tres están clasificados como críticos, 142 como importantes, tres como moderados y uno como de gravedad baja. La actualización es aparte de 21 vulnerabilidades que la compañía abordó en su navegador Edge basado en Chromium luego del lanzamiento del Correcciones del martes de parches de marzo de 2024.
Las dos deficiencias que han sido objeto de explotación activa se encuentran a continuación:
- CVE-2024-26234 (Puntuación CVSS: 6,7) – Vulnerabilidad de suplantación de identidad del controlador proxy
- CVE-2024-29988 (Puntuación CVSS: 8,8) – Vulnerabilidad de omisión de función de seguridad de solicitud de SmartScreen
Si bien el propio aviso de Microsoft no proporciona información sobre CVE-2024-26234, la empresa de ciberseguridad Sophos dijo que descubrió en diciembre de 2023 un ejecutable malicioso («Catalog.exe» o «Catalog Authentication Client Service») que firmado por un editor válido de compatibilidad de hardware de Microsoft Windows (WHCP) certificado.
Análisis de autenticodo del binario ha revelado el editor solicitante original a Hainan YouHu Technology Co. Ltd, que también es el editor de otra herramienta llamada LaiXi Android Screen Mirroring.
Este último se describe como «un software de marketing… [that] «Puede conectar cientos de teléfonos móviles y controlarlos en lotes, y automatizar tareas como seguir lotes, dar me gusta y comentar».
Dentro del supuesto servicio de autenticación hay un componente llamado 3proxy que está diseñado para monitorear e interceptar el tráfico de red en un sistema infectado, actuando efectivamente como una puerta trasera.
«No tenemos evidencia que sugiera que los desarrolladores de LaiXi incrustaron deliberadamente el archivo malicioso en su producto, o que un actor de amenazas llevó a cabo un ataque a la cadena de suministro para insertarlo en el proceso de compilación/construcción de la aplicación LaiXi», dijo el investigador de Sophos Andreas Klopsch. dicho.
La compañía de ciberseguridad también dijo que descubrió muchas otras variantes de la puerta trasera en estado salvaje desde el 5 de enero de 2023, lo que indica que la campaña ha estado en marcha al menos desde entonces. Desde entonces, Microsoft ha agregado los archivos relevantes a su lista de revocación.
La otra falla de seguridad que, según se informa, ha sido objeto de ataque activo es CVE-2024-29988, que, al igual que CVE-2024-21412 y CVE-2023-36025 – permite a los atacantes eludir las protecciones de Microsoft Defender Smartscreen al abrir un archivo especialmente diseñado.
«Para explotar esta característica de seguridad y evitar la vulnerabilidad, un atacante necesitaría convencer a un usuario para que inicie archivos maliciosos utilizando una aplicación de inicio que solicite que no se muestre ninguna interfaz de usuario», dijo Microsoft.
«En un escenario de ataque por correo electrónico o mensajes instantáneos, el atacante podría enviar al usuario objetivo un archivo especialmente diseñado para explotar la vulnerabilidad de ejecución remota de código».
La iniciativa del día cero reveló que hay evidencia de que la falla está siendo explotada en la naturaleza, aunque Microsoft la ha etiquetado con una evaluación de «Explotación más probable».
Otra vulnerabilidad de importancia es CVE-2024-29990 (Puntuación CVSS: 9,0), una falla de elevación de privilegios que afecta al contenedor confidencial del servicio Microsoft Azure Kubernetes y que podría ser aprovechado por atacantes no autenticados para robar credenciales.
«Un atacante puede acceder al nodo AKS Kubernetes que no es de confianza y al contenedor confidencial AKS para apoderarse de invitados y contenedores confidenciales más allá de la pila de red a la que podría estar vinculado», dijo Redmond.
En total, la versión se destaca por abordar hasta 68 ejecuciones remotas de código, 31 escaladas de privilegios, 26 omisiones de funciones de seguridad y seis errores de denegación de servicio (DoS). Curiosamente, 24 de los 26 fallos de omisión de seguridad están relacionados con el arranque seguro.
«Si bien ninguna de estas vulnerabilidades de arranque seguro abordadas este mes fue explotada en la naturaleza, sirven como recordatorio de que las fallas en el arranque seguro persisten y podríamos ver más actividad maliciosa relacionada con el arranque seguro en el futuro», Satnam Narang, personal senior. ingeniero de investigación de Tenable, dijo en un comunicado.
La divulgación se produce cuando Microsoft ha enfrentó críticas por sus prácticas de seguridad, con un informe reciente de la Junta de Revisión de Seguridad Cibernética de EE. UU. (CSRB) denunciando a la compañía por no hacer lo suficiente para prevenir una campaña de ciberespionaje orquestada por un actor de amenazas chino identificado como Storm-0558 el año pasado.
También sigue la decisión de la empresa de publicar datos de causa raíz para detectar fallas de seguridad utilizando el estándar industrial Common Weakness Enumeration (CWE). Sin embargo, vale la pena señalar que los cambios solo entran en vigor a partir de los avisos publicados desde marzo de 2024.
«La adición de evaluaciones CWE a los avisos de seguridad de Microsoft ayuda a identificar la causa raíz genérica de una vulnerabilidad», dijo Adam Barnett, ingeniero de software líder en Rapid7, en un comunicado compartido con The Hacker News.
«El programa CWE ha actualizado recientemente su orientación sobre mapeo de CVE a una causa raíz de CWE. El análisis de las tendencias de CWE puede ayudar a los desarrolladores a reducir los sucesos futuros a través de pruebas y flujos de trabajo mejorados del ciclo de vida del desarrollo de software (SDLC), además de ayudar a los defensores a comprender dónde dirigir los esfuerzos de defensa en profundidad y refuerzo de la implementación para obtener el mejor retorno de la inversión».
En un desarrollo relacionado, la firma de ciberseguridad Varonis detalló dos métodos que los atacantes podrían adoptar para eludir los registros de auditoría y evitar desencadenar eventos de descarga mientras extraen archivos de SharePoint.
El primer enfoque aprovecha la función «Abrir en la aplicación» de SharePoint para acceder y descargar archivos, mientras que el segundo utiliza el User-Agent para Microsoft SkyDriveSync para descargar archivos o incluso sitios completos mientras clasifica erróneamente eventos como sincronizaciones de archivos en lugar de descargas.
Microsoft, que tuvo conocimiento de los problemas en noviembre de 2023, aún no ha publicado una solución, aunque se han agregado a su programa de parches pendientes. Mientras tanto, se recomienda a las organizaciones que supervisen de cerca sus registros de auditoría para detectar eventos de acceso sospechosos, específicamente aquellos que involucran grandes volúmenes de descargas de archivos en un período corto.
«Estas técnicas pueden eludir las políticas de detección y aplicación de herramientas tradicionales, como los agentes de seguridad de acceso a la nube, la prevención de pérdida de datos y SIEM, al ocultar las descargas como eventos de sincronización y acceso menos sospechosos», Eric Saraga dicho.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas: