Site icon Sophos News

Un martes de parches tumultuoso y titánico ya que Microsoft introduce cambios

tidal wave

Se acabaron varios meses de relativa calma para los administradores de Windows, ya que Microsoft publicó el martes 147 parches que afectan a diez familias de productos. Windows se lleva la mayor parte de los parches, con 90 y 38 para SQL Server (incluidos diez compartidos con Visual Studio). El resto se reparten entre .NET, 365, Azure, Defender para IoT, Office, Outlook y SharePoint. Hay tres problemas de gravedad crítica, todos ellos afectan a Defender para IoT.

En el momento de aplicar el parche, se sabe que tres problemas, todos ellos fallos de gravedad importante que afectan a Windows, están siendo explotados activamente. Uno de ellos (CVE-2024-26234, un problema relacionado con controladores del que Sophos informó a Microsoft) es de dominio público, como veremos más adelante. Según las estimaciones de la empresa, es más probable que en los próximos 30 días se exploten otras 11 vulnerabilidades de gravedad más importante en Windows. Seis de los problemas abordados son susceptibles de ser detectados por las protecciones de Sophos, e incluimos información sobre ellos en una tabla más abajo.

Además de estos parches, la publicación incluye un aviso sobre cinco parches relacionados con el navegador Edge y cinco de Intel, Lenovo y Red Hat; las actualizaciones periódicas de la pila de servicios también se incluyen en el material de aviso de este mes. No incluimos los avisos en los recuentos y gráficos de CVE que figuran a continuación.

En cifras

Figura 1: los RCE pasaron a primer plano este mes, pero la elusión de funciones de seguridad tiene una presencia formidable (hablaremos de ello más adelante)

Productos

Figura 2: Windows representa algo menos de dos tercios de los parches de abril de 2024, con otras nueve familias de productos también en la lista (pero cinco de ellas reciben solo un parche

Actualizaciones y temas destacados de abril

Además de los problemas comentados anteriormente, algunos temas específicos merecen atención.

Se acumulan los problemas de arranque

Vulnerabilidad de elusión de la función de seguridad de arranque seguro – 24 parches

Vulnerabilidad de elusión de la función de seguridad de BitLocker – 1 parche

Lenovo: CVE-2024-23593 Zero Out Boot Manager and drop to UEFI Shell – 1 parche

Lenovo: CVE-2024-23594 Desbordamiento del búfer de pila en LenovoBT.efi – 1 parche

Secure Boot y BitLocker están teniendo un mes interesante. Los 25 parches de Microsoft son problemas de gravedad importante. Microsoft afirma que ninguno de ellos está actualmente bajo explotación activa y creen que la explotación es menos probable en los 30 días posteriores a su publicación. Los dos problemas de Lenovo también están relacionados con los procesos de arranque, Microsoft los califica de fallos de elusión de funciones de seguridad de gravedad importante y cree que es menos probable que se exploten en los próximos 30 días. Cabe señalar que Microsoft menciona las versiones de Lenovo simplemente como un aviso.

CVE-2024-26234 – Vulnerabilidad de suplantación de controladores proxy

Como ya hemos dicho, en diciembre, Sophos X-Ops abrió una investigación sobre un ejecutable de aspecto sospechoso que afirmaba estar firmado por un certificado válido de Microsoft Hardware Publisher. Puedes leer lo que ocurrió en nuestro informe sobre lo que descubrimos. Por parte de Microsoft, la empresa ha añadido los archivos pertinentes a su lista de revocación continua, que se actualiza en este ciclo de parches bajo este CVE. Es el único problema de este mes que se considera divulgado públicamente.

Un mes difícil para SQL Server

Vulnerabilidad de ejecución remota de código del controlador ODBC de Microsoft para SQL Server – 13 parches

Vulnerabilidad de ejecución remota de código en el controlador OLE DB de Microsoft para SQL Server – 24 parches

Vulnerabilidad de ejecución remota de código en el proveedor OLE DB de Microsoft WDAC para SQL Server – 3 parches

Vulnerabilidad de ejecución remota de código del controlador ODBC de Microsoft WDAC SQL Server – 1 parche

Estos 41 parches son todos problemas de gravedad importante con números CVE probablemente asignados desde el bloque CAN de Microsoft (casi todos son secuenciales, lo que suele indicar que se extrajeron del mismo bloque más o menos al mismo tiempo). Microsoft afirma que ninguno de ellos está actualmente bajo explotación activa y que creen que la explotación es menos probable en los 30 días posteriores a la publicación.

Figura 3: la elusión de funciones de seguridad salta al tercer puesto en el total acumulado de parches para 2024, aunque RCE sigue liderando el pelotón

[PIE Figura 3: la elusión de funciones de seguridad salta al tercer puesto en el total acumulado de parches para 2024, aunque RCE sigue liderando el pelotón]

Protecciones de Sophos

CVE Sophos Intercept X/Endpoint IPS Sophos XGS Firewall
CVE-2024-26209 Exp/2426209-A Exp/2426209-A
CVE-2024-26211 Exp/2426211-A Exp/2426211-A
CVE-2024-26212 Exp/2426212-A sid:2309495
CVE-2024-26218 Exp/2426218-A Exp/2426218-A
CVE-2024-26230 Exp/2426230-A Exp/2426230-A
CVE-2024-26234 Mal/Proxcat-A N/A

Como todos los meses, si no quieres esperar a que tu sistema descargue por sí mismo las actualizaciones de Microsoft, puedes descargarlas manualmente desde el sitio web del Catálogo de Windows Update. Ejecuta la herramienta winver.exe para determinar qué compilación de Windows 10 u 11 estás ejecutando y, a continuación, descarga el paquete de actualizaciones acumulativas para la arquitectura y el número de compilación específicos de tu sistema.

Exit mobile version