Búsqueda de Ciberamenazas

59 CVE solucionadas en el martes de parches de marzo de Microsoft

Solo se abordan dos problemas de gravedad crítica, aunque los administradores de Azure y OMI no querrán posponer la aplicación de parches este mes

El martes, Microsoft publicó 59 CVE, incluidas 41 para Windows. También están afectados otros 20 grupos de productos o herramientas. De los CVE abordados, Microsoft solo dos considera de gravedad crítica, ambos en Windows (concretamente en Hyper-V).

En el momento de aplicar el parche, ninguno de los problemas ha sido revelado públicamente ni se sabe que esté siendo explotado activamente. Seis de las vulnerabilidades de gravedad importante en Windows tienen, según la estimación de la empresa, más probabilidades de ser explotadas en los próximos 30 días. Cinco de los problemas abordados son susceptibles de ser detectados por las protecciones de Sophos, e incluimos información sobre ellos en una tabla más abajo.

Además de estos parches, la publicación incluía avisos sobre cuatro parches relacionados con el navegador Edge; tres de esos CVE fueron asignados por el equipo de Chrome, no por Microsoft. Más información sobre el parche de Microsoft para Edge, CVE-2024-26167, dentro de un minuto. También hay un problema de gravedad importante, CVE-2023-28746, sobre el que se informa este mes.

No incluimos los avisos en los recuentos y gráficos de CVE que figuran a continuación.

En cifras

  • Total de CVE de Microsoft (excluyendo Edge): 59

  • Total de problemas de Edge / Chrome cubiertos en la actualización: 4

  • Total de CVE no relacionados con Microsoft cubiertos en la actualización: 1

  • Divulgados públicamente: 0

  • Explotadas: 0

  • Gravedad

    • Crítica: 2

    • Importante: 57

  • Impacto

    • Elevación de privilegios: 25

    • Ejecución remota de código: 18

    • Denegación de servicio: 6

    • Divulgación de información: 5

    • Anulación de funciones de seguridad: 2

    • Suplantación de identidad: 2

    • Manipulación: 1

A bar chart showing the distributing of March 2024 Microsoft patches by severity, organized by impact; information replicated in text
Gráfico 1: así de fácil, 2024 empata con toda la producción de CVE de manipulación de 2023… en uno. Más sobre CVE-2024-26185 en un minuto

Productos

  • Windows: 41 (incluido uno compartido con .NET y Visual Studio)

  • Azure 4 (incluido uno compartido con Log Analytics Agent, OMI, OMS y SCOM)

  • Visual Studio: 3 (incluido uno compartido con .NET y una compartida con .NET y Windows)

  • .NET: 2 (incluido uno compartido con Visual Studio y uno compartido con Visual Studio y Windows)

  • OMI (Infraestructura de Gestión Abierta): 2 (incluyendo uno compartido con Azure, Log Analytics Agent, OMS y SCOM; y uno compartido con SCOM)

  • SCOM (System Center Operations Manager): 2 (incluido uno compartido con Azure, Log Analytics Agent, OMI y OMS; y uno compartido con OMI)

  • Autenticador: 1

  • Defensor: 1

  • Dynamics 365: 1

  • Exchange 1

  • Intune: 1

  • Agente de Log Analytics: 1 (compartido con Azure, OMI, OMS y SCOM)

  • Office (365 local): 1

  • OMS (Agente de Operations Management Suite para Linux): 1 (compartido con Azure, OMI y SCOM)

  • Outlook 1

  • SharePoint: 1

  • Skype: 1

  • SONiC (Software para Redes Abiertas en la Nube): 1

  • SQL 1

  • Teams: 1

A bar chart showing the distribution of March 2024 Microsoft patches by product / tool family; information is replicated in text
Gráfico 2: hay para todos los gustos, ya que veinte herramientas o grupos de productos están afectados por el martes de parches de marzo

Actualizaciones notables de marzo

Además de los problemas comentados anteriormente, algunos elementos específicos merecen atención.

CVE-2024-26185

Vulnerabilidad de manipulación de carpetas comprimidas de Windows

Esta vulnerabilidad, uno de los seis problemas que Microsoft considera con más probabilidades de ser explotados en los próximos 30 días, afecta al omnipresente 7zip. Se requiere una interacción mínima del usuario, muy probablemente a través del correo electrónico (en el que el atacante envía un archivo especialmente diseñado y convence al usuario para que lo abra) o a través de la web. Este parche solo se aplica a Win11 22H2 y Win11 23H2.

CVE-2024-21334

Vulnerabilidad de Ejecución Remota de Código en la Infraestructura de Gestión Abierta (OMI)

Con la puntuación CVSS más alta del mes (9,8 de base) y, sin embargo, no es probable que se explote en los próximos 30 días a juicio de Microsoft, esta RCE se aplica no solo a OMI, sino también a SCOM (System Center Operations Manager) 2019 y 2022. Si se explota, un atacante remoto no autenticado podría acceder a la instancia de OMI a través de Internet y enviar solicitudes especialmente diseñadas para activar una vulnerabilidad de uso después de la liberación. Si parchear no es una opción inmediata, las máquinas Linux que no necesiten escucha de red pueden desactivar sus puertos OMI entrantes a modo de mitigación.

CVE-2024-21421

Vulnerabilidad de suplantación de identidad del SDK de Azure

Comprueba la fecha de tu último despliegue: ¿fue anterior al 19 de octubre de 2023? Si es así, tendrás que actualizar manualmente a Azure Core Build 1.29.5 o superior. Para mayor comodidad, el GitHub del SDK de Azure está disponible aquí. Aquellos con despliegues posteriores a esa fecha ya recibieron la corrección automáticamente.

CVE-2024-21448

Revelación de información de Microsoft Teams para Android

Este mes hay varios parches relacionados con Android (Intune, Outlook, el parche de Edge que comentaremos más adelante), pero solo este, un problema de Teams de gravedad importante, requerirá un viaje a Play Store. Su explotación permitiría al atacante leer archivos del directorio privado de la aplicación.

CVE-2024-26167

Vulnerabilidad de suplantación de identidad de Microsoft Edge para Android

Como vulnerabilidad de Edge, ésta llega con escasa información de Microsoft, que en la era post-IE lleva sus actualizaciones del navegador principalmente fuera del ciclo del Martes de Parches. Como vulnerabilidad de Android, es muy posible que los usuarios de Android tomen esta actualización de otras fuentes. Lo que está claro por parte de Microsoft es que, sea lo que sea y quienquiera que lo esté parcheando, el parche aún no está disponible, y que los afectados deben estar atentos a la información CVE publica para conocer las actualizaciones. Afortunadamente, con una puntuación base CVSS de 4,3, este misterio bien podría ser una tormenta en un vaso de agua.

A bar chart showing the distribution of 2024 patch severities, by impact; RCE leads the pack
Gráfico 3: marzo continúa la tendencia en lo que va de 2024 de cargas de parches más ligeras de lo habitual. En lo que va de 2024, se han publicado 179 parches en la cadencia normal del segundo martes, frente a 246 en 2023, 225 en 2022, 228 en 2021 y 266 en 2020

Protecciones de Sophos

CVE Sophos Intercept X/Endpoint IPS Sophos XGS Firewall
CVE-2024-21433 Exp/2421433-A Exp/2421433-A
CVE-2024-21437 Exp/2421437-A Exp/2421437-A
CVE-2024-26160 Exp/2426160-A Exp/2426160-A
CVE-2024-26170 Exp/2426170-A Exp/2426170-A
CVE-2024-26182 Exp/2426182-A Exp/2426182-A

 

Como todos los meses, si no quieres esperar a que tu sistema descargue por sí mismo las actualizaciones de Microsoft, puedes descargarlas manualmente desde el sitio web del Catálogo de Windows Update. Ejecuta la herramienta winver.exe para determinar qué compilación de Windows 10 u 11 estás ejecutando y, a continuación, descarga el paquete de actualizaciones acumulativas para la arquitectura y el número de compilación específicos de tu sistema.