Microsoft publicó el martes 89 parches que afectan a 14 familias de productos. Microsoft considera que dos de los problemas abordados, ambos relacionados con Windows, son de gravedad crítica. En el momento de aplicar el parche, se sabe que dos vulnerabilidades están siendo explotadas activamente y según las estimaciones de la empresa, es más probable que otros ocho CVE sean explotados en los próximos 30 días. Cuatro de los problemas de este mes son susceptibles de ser detectados por las protecciones de Sophos e incluimos información sobre ellos en una tabla más abajo.
Además de estos parches, la publicación incluye información de aviso sobre dos CVE relacionados con Edge y uno relacionado con Azure, CBL Mariner y Defender (más información sobre ese aviso más adelante).
En cifras
-
CVE totales: 89
-
Divulgados públicamente: 3
-
Problemas detectados: 2
-
Gravedad
-
Crítica: 3
-
Importante: 85
-
Moderada 3
-
-
Impacto
-
Ejecución remota de código: 52
-
Elevación de privilegios: 27
-
Denegación de servicio: 4
-
Suplantación de identidad: 3
-
Anulación de funciones de seguridad: 2
-
Revelación de información: 1
-
-
Puntuación base CVSS 9.0 o superior: 4
-
Puntuación base CVSS 8,0 o superior: 42
Productos
-
Windows 37
-
SQL Server: 31
-
Aplicaciones 365: 8
-
Office: 8
-
Excel: 5
-
Visual Studio: 5
-
Azure: 3
-
.NET: 2
-
airlift.microsoft.com 1
-
Exchange: 1
-
LightGBM: 1
-
Gestor PC: 1
-
AntorchaGeo 1
-
Word: 1
Como es nuestra costumbre en esta lista, los CVE que se aplican a más de una familia de productos se cuentan una vez por cada familia a la que afectan.
Actualizaciones destacadas de noviembre
Además de los problemas comentados anteriormente, hay una serie de elementos específicos que merecen atención.
31 CVE – Problemas del servidor 2025
Como se informó en The Register la semana pasada, un error de KB provocó que bastantes instancias de Server 2019 y 2022 recibieran actualizaciones sorpresa a Server 2025. Aunque Microsoft acabó reconociendo el problema y trabajando para mitigarlo, en el momento de escribir estas líneas ese proceso parece estar aún en curso. Mientras tanto, el conjunto de parches de este mes da a los administradores una muy buena razón más para dar prioridad a solucionar cualquier presencia inesperada de Server 2025 en sus sistemas, ya que más de un tercio de los parches del mes afectan a la nueva versión aún no oficial.
CVE-2024-5535 – OpenSSL: CVE-2024-5535 Sobrelectura del búfer SSL_select_next_proto
Está relegado a la lista de avisos, pero este RCE, que tiene una puntuación base CVSS de 9,1, merece un vistazo. La información disponible también es digna de mención (aunque, al tratarse de un CVE asignado a OpenSSL, es ligeramente diferente de los datos habituales que Microsoft presenta en sus parches): la información disponible advierte de que, en el peor de los casos de ataque por correo electrónico, podría conseguirse un RCE aunque el usuario no abra, lea o haga clic en un enlace recibido. El problema afecta a la versión 3.0 de Azure Linux, a la versión 2.0 de CBL Mariner y a Defender for Endpoint en Android, iOS y Windows. Dicho esto, Microsoft considera que es menos probable que se explote en los próximos 30 días.
CVE-2024-49039 – Vulnerabilidad de Elevación de Privilegios en el Programador de Tareas de Windows
CVE-2024-43451 – Vulnerabilidad de Suplantación de Divulgación de Hash NTLM
Estos son los dos CVE que Microsoft ha descubierto que ya están siendo explotados. La primera es la más grave de las dos: una EoP con una puntuación base CVSS de 8,8. Ambas requieren que el sistema objetivo ejecute una aplicación maliciosa. El problema de suplantación de identidad, que tiene una base CVSS relativamente menos alarmante de 6,5, incluye una sorpresa adicional: las actualizaciones acumulativas de IE para usuarios de Server 2008, 2008 R2 y 2012 R2 siguen tomando actualizaciones de Solo Seguridad.
CVE-2024-49040 – Vulnerabilidad de suplantación de identidad en Microsoft Exchange Server
Esta vulnerabilidad de suplantación de identidad de gravedad importante, que Microsoft considera más probable que se explote en los próximos 30 días, tiene un conjunto bastante específico de instrucciones posteriores a la instalación, que pueden verse en el sitio de la empresa.
CVE-2024-49056 – Vulnerabilidad de Elevación de Privilegios en airlift.microsoft.com
Una CVE inusual contra un micrositio de Microsoft, esta EoP de gravedad Crítica ya ha sido parcheada. Según la información facilitada, «la omisión de la autenticación mediante datos supuestamente inmutables en airlift.microsoft.com permitía a un atacante autorizado elevar privilegios a través de una red».
Protecciones de Sophos
| CVE | Sophos Intercept X/Endpoint IPS | Sophos XGS Firewall |
| CVE-2024-43623 | Exp/2443623-A | Exp/2443623-A |
| CVE-2024-43630 | Exp/2443630-A | Exp/2443630-A |
| CVE-2024-49039 | Exp/2449039-A | Exp/2449039-A |
| CVE-2024-49033 | sid:2310318 | sid:2310318 |
Como todos los meses, si no quieres esperar a que tu sistema descargue por sí mismo las actualizaciones de Microsoft, puedes descargarlas manualmente desde el sitio web del Catálogo de Windows Update. Ejecuta la herramienta winver.exe para determinar qué compilación de Windows 10 u 11 estás ejecutando y, a continuación, descarga el paquete de actualizaciones acumulativas para la arquitectura y el número de compilación específicos de tu sistema.
