CCNeko berriak

Fecha de publicación: 14/02/2024

Nivel de peligrosidad: CRÍTICO

El CCN-CERT, del Centro Criptológico Nacional, informa que el fabricante Microsoft ha publicado un boletín de seguridad, correspondiente al mes de febrero, en el que se corrigen 73 vulnerabilidades, de las cuales cinco han sido catalogadas como críticas.

La actualización de seguridad proporciona actualizaciones para varios productos de software y funciones de Microsoft, como por ejemplo, Windows Defender, Microsoft Dynamics o Microsoft Office. Para obtener un resumen completo sobre cada CVE, la compañía ha puesto a disposición de sus usuarios los detalles de cada una de ellas.

Entre las 73 vulnerabilidades reportadas en las actualizaciones de este mes, destacan las vulnerabilidades de tipo zero-day identificadas bajo los identificadores CVE-2024-21413, CVE-2024-21351 y CVE-2024-21412. La vulnerabilidad CVE-2024-21413 se debe por una validación insuficiente de la entrada proporcionada por el usuario en Microsoft Outlook. Un atacante remoto puede enviar entradas especialmente diseñadas a la aplicación y ejecutar código arbitrario en el sistema de destino.

Desde la compañía se ha lanzado una actualización de seguridad sobre la vulnerabilidad catalogada con el identificador CVE-2024-21351. Este error existe debido a una validación de entrada inadecuada al manejar archivos descargados de Internet. Un atacante remoto puede eludir la función de protección SmartScreen y engañar a la víctima para que ejecute archivos dañinos en el sistema. Se tiene constancia que esta vulnerabilidad ha sido explotada activamente.

Por otro lado, la vulnerabilidad CVE-2024-21412 existe debido a una validación de entrada inadecuada al manejar archivos de acceso directo de Internet. Un atacante remoto puede engañar a la víctima para que haga clic en un archivo de acceso directo especialmente diseñado y ejecutar código arbitrario en el sistema. Se tiene constancia que esta vulnerabilidad ha sido explotada activamente.

A continuación, se detallan las vulnerabilidades catalogadas como críticas en este boletín de Microsoft correspondiente al mes de febrero:

• CVE-2024-21380: Vulnerabilidad debida a una condición de carrera en Microsoft Dynamics Business Central/NAV. Un usuario remoto puede explotar esta condición y obtener acceso no autorizado a información confidencial y escalar privilegios en el sistema.

• CVE-2024-21410: Vulnerabilidad causada por un error en Microsoft Exchange Server. Un atacante remoto puede apuntar a un cliente NTLM como Outlook con una vulnerabilidad del tipo de fuga de credenciales. Las credenciales filtradas pueden ser utilizadas para acceder al servidor y obtener privilegios como cliente, permitiendo realizar operaciones en su nombre.

• CVE-2024-21413: Vulnerabilidad que se debe por una validación insuficiente de la entrada proporcionada por el usuario en Microsoft Outlook. Un atacante remoto puede enviar entradas especialmente diseñadas a la aplicación y ejecutar código arbitrario en el sistema de destino.

• CVE-2024-20684: Vulnerabilidad que existe debido a la insuficiente validación de la entrada proporcionada por el usuario en Windows Hyper-V. Un usuario local puede enviar una entrada especialmente diseñada a la aplicación y realizar un ataque de denegación de servicio (DoS).

• CVE-2024-21357: Vulnerabilidad provocada por una validación insuficiente de la entrada proporcionada por el usuario en la multidifusión general pragmática (PGM) de Windows. Un atacante remoto en la red local puede enviar una entrada especialmente diseñada a la aplicación y ejecutar código arbitrario en el sistema de destino.

La base de datos del NIST ha registrado las vulnerabilidades descritas, sin embargo, aún no se les ha asignado una puntuación de acuerdo a la escala CVSSv3. Microsoft ha calificado todas las vulnerabilidades descritas en la tabla anterior con una severidad crítica. Actualmente no se tiene conocimiento de reportes sobre actividad dañina en la red ni se conoce la disponibilidad de exploits que aprovechen estas vulnerabilidades, así como tampoco se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados.

Recursos afectados

Las vulnerabilidades reportadas afectan a los siguientes productos con las versiones correspondientes:

Windows: versiones 10-11 23H2

Microsoft Office LTSC 2021: edición de 32 y 64 bits

Windows Server: versiones 2008-2022 23H2

Microsoft Outlook: versiones 2016-2019

Microsoft 365 Apps for Enterprise: sistemas de 32 y 64 bits

Microsoft Dynamics 365 Business Central: versiones 2022 Release Wave 2-2023 Release Wave 2

Microsoft Exchange Server: versiones 2016 CU22 Nov22SU 15.01.2375.037 – 2029 RTM Mar21SU 15.02.0221.018

Solución a las vulnerabilidades

Con la publicación de la última actualización de seguridad, Microsoft ha corregido todas las vulnerabilidades descritas. Desde la compañía se irán actualizando y publicando los parches correspondientes en los próximos días, los cuales se podrán encontrar disponibles desde el propio update automático de Windows, o bien, mediante su descarga manual y posterior instalación.

El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Referencias

• February 2024 Security Updates
• Microsoft February 2024 Patch Tuesday fixes 2 zero-days, 73 flaws
• Microsoft’s February 2024 Patch Tuesday Addresses 73 CVEs