Publicado el

Actualizaciones de seguridad de Adobe de diciembre de 2024

Adobe ha lanzado sus actualizaciones de seguridad de diciembre de 2024 para abordar un total de más de 160 vulnerabilidades en 16 de sus productos. Estas actualizaciones incluyen correcciones para una serie de vulnerabilidades que van desde severidades críticas hasta medianas, las cuales pueden ser explotadas para ejecutar código de manera arbitraria o eludir características de seguridad. Adobe ha corregido problemas importantes en productos como Adobe Experience Manager, Connect, Animate, InDesign, Substance 3D Modeler, Acrobat, Reader, entre otros.

Análisis

De las más de 160 vulnerabilidades corregidas, más de 90 fueron solucionadas en Adobe Experience Manager. La mayoría de estas vulnerabilidades tienen una severidad media (según la puntuación CVSS) y permiten la ejecución de código arbitrario, además de que algunas pueden ser utilizadas para eludir características de seguridad. CVE-2024-43711 es la única vulnerabilidad con severidad crítica (alta según CVSS), que permite la ejecución de código de manera arbitraria.

Otro conjunto importante de correcciones se encuentra en Adobe Connect, donde se han corregido 22 vulnerabilidades, incluidas varias de severidad crítica y alta que permiten la ejecución de código arbitrario y la escalada de privilegios.

Para Adobe Animate, se han corregido más de una docena de vulnerabilidades, todas descritas como problemas críticos (alta severidad según CVSS), que pueden permitir la ejecución de código arbitrario.

En Adobe InDesign, se han corregido nueve vulnerabilidades, incluidas fallos de ejecución de código arbitrario. De manera similar, Substance 3D Modeler ha recibido la corrección de nueve vulnerabilidades, que pueden llevar a la ejecución de código arbitrario o a una condición de DoS (Denegación de Servicio).

En Substance 3D Sampler y Substance 3D Painter, Adobe ha corregido vulnerabilidades de ejecución de código arbitrario, con tres y dos vulnerabilidades solucionadas respectivamente.

Recursos afectados

Las versiones afectadas de los productos de Adobe incluyen una amplia gama de software, como Adobe Experience Manager, Adobe Connect, Adobe Animate, Adobe InDesign, Adobe Acrobat, Adobe Reader, Adobe Illustrator, Adobe Photoshop, y Adobe After Effects, entre otros. Estas vulnerabilidades pueden afectar tanto a usuarios individuales como a organizaciones que utilizan estos programas para gestionar o crear contenido multimedia.

Recomendaciones

Aplicar las actualizaciones de seguridad de diciembre de 2024 para todos los productos de Adobe mencionados, incluidas las correcciones para vulnerabilidades críticas como CVE-2024-43711.

Referencias

Publicado el

Actualizaciones de seguridad de Microsoft de Diciembre 2024

Microsoft ha cerrado el año con la corrección de un total de 72 vulnerabilidades en su portafolio de software. Entre ellas, se destaca una vulnerabilidad que ya ha sido explotada activamente en el entorno real. De las 72 vulnerabilidades, 17 son calificadas como Críticas, 54 como Importantes, y una como Moderada en severidad. Además, se han abordado múltiples fallos de ejecución remota de código y elevación de privilegios.

Análisis

Entre las 72 vulnerabilidades corregidas, una de las más destacadas es CVE-2024-49138, una vulnerabilidad de escalada de privilegios en el Windows Common Log File System (CLFS) Driver. Esta vulnerabilidad permite que un atacante que la explote con éxito obtenga privilegios de SYSTEM, lo que le da acceso total al sistema afectado. Esta vulnerabilidad tiene una puntuación de CVSS de 7.8 y ha sido identificada como una amenaza activa, lo que significa que ya está siendo explotada en el entorno real.

Es importante destacar que CVE-2024-49138 es la quinta vulnerabilidad de escalada de privilegios en el controlador CLFS que ha sido explotada activamente desde 2022, lo que subraya la relevancia de este componente en los ataques cibernéticos. Microsoft ha implementado mitigaciones adicionales para este tipo de fallos, como la inclusión de Códigos de Autenticación de Mensajes Hash (HMAC) para mejorar la validación de los archivos de registro y evitar modificaciones no autorizadas.

Otra vulnerabilidad de gravedad crítica es CVE-2024-49112, un fallo de ejecución remota de código en el Windows Lightweight Directory Access Protocol (LDAP), con una puntuación CVSS de 9.8. Un atacante no autenticado que explote esta vulnerabilidad podría ejecutar código arbitrario dentro del contexto del servicio LDAP, lo que pone en riesgo la integridad del sistema.

Además, hay otras vulnerabilidades de ejecución remota de código en componentes como Windows Hyper-V (CVE-2024-49117), Remote Desktop Client (CVE-2024-49105), y Microsoft Muzic (CVE-2024-49063), con puntuaciones CVSS de 8.8, 8.4 y 8.4, respectivamente

Recursos afectados

Las versiones afectadas de los productos de Microsoft incluyen una amplia gama de sistemas operativos y aplicaciones. Las vulnerabilidades de escalada de privilegios en el CLFS Driver afectan principalmente a versiones de Windows desde 2022, y el fallo de ejecución remota de código en LDAP impacta en diversas versiones de Windows Server y versiones de cliente.

Microsoft ha actualizado sus productos con parches de seguridad para abordar estos fallos, y se recomienda a todos los usuarios y administradores que apliquen las actualizaciones correspondientes lo antes posible. Además, las vulnerabilidades relacionadas con el protocolo NTLM también se han abordado con mejoras de seguridad como la habilitación de la Protección Extendida para Autenticación (EPA) por defecto.

Recomendaciones

Aplicar las actualizaciones de seguridad de Patch Tuesday de diciembre de 2024. Esto incluye las correcciones para CVE-2024-49138 y CVE-2024-49112, entre otras vulnerabilidades críticas.

Referencias

Publicado el

Vulnerabilidades corregidas por Microsoft

Microsoft informó a sus clientes que se han solucionado vulnerabilidades que afectan a la nube, la inteligencia artificial y otros servicios, incluida una vulnerabilidad explotada.

Análisis

Microsoft ha informado que el martes 26, corrigió vulnerabilidades en Azure, Copilot Studio y su sitio web Partner Network (una brecha de seguridad en cada uno), pero los clientes no necesitan hacer nada. Los identificadores y avisos de CVE se han publicado solo por transparencia.
De este modo publicó avisos separados para cada vulnerabilidad. Todos ellos se han descrito como problemas de escalada de privilegios que tienen una clasificación de gravedad máxima de «crítico», pero según su puntuación CVSS, dos de ellos tienen una clasificación de «gravedad alta» y solo uno es realmente «crítico».

En su sitio web Partner Network, específicamente en el dominio ‘partner.microsoft.com’, Microsoft abordó CVE-2024-49035, una vulnerabilidad de control de acceso inadecuado de alta gravedad que permitía a un atacante no autenticado elevar privilegios en una red. Esta CVE aborda una vulnerabilidad en la versión en línea de Microsoft Power Apps únicamente. Por lo tanto, los clientes no necesitan realizar ninguna acción porque las versiones se implementan automáticamente a lo largo de varios días.
La vulnerabilidad ha sido marcada como «explotada», pero no se ha compartido información adicional.

El problema de gravedad crítica abordado esta semana es CVE-2024-49038, una vulnerabilidad de secuencias de comandos entre sitios (XSS) en Copilot Studio, un producto que utiliza IA generativa para permitir a los clientes personalizar o crear copilotos.
La neutralización incorrecta de la entrada durante la generación de páginas web (Cross-site Scripting) en Copilot Studio por parte de un atacante no autorizado conduce a la elevación de privilegios en una red.

La vulnerabilidad de Azure es CVE-2024-49052. Se trata de un problema de falta de autenticación que afecta a una función crítica de Azure PolicyWatch, lo que permite a un atacante elevar privilegios en una red.

Microsoft también anunció la aplicación de un parche a una vulnerabilidad XSS en Dynamics 365 Sales, una solución de gestión para vendedores. La brecha de seguridad permite a un atacante ejecutar un script malicioso en el navegador de la víctima al hacer que haga clic en un enlace especialmente diseñado.
Las aplicaciones de iOS y Android se ven afectadas, pero la vulnerabilidad se encuentra en el servidor web. Es posible que los usuarios deban actualizar sus aplicaciones, ya que Microsoft no ha indicado específicamente en su aviso que no es necesaria la interacción del usuario.

Recursos afectados

    • Azure
    • Copilot Studio
    • Sitio web Partner Network

Recomendaciones

Microsoft ha indicado que no se precisan acciones de los usuarios ya que las vulnerabilidades se han publicado solo por temas de transparencia. No obstante se recomienda tener los productos actualizados.

Referencias

Publicado el

Vulnerabilidad crítica de 7-Zip

Se ha descubierto una grave vulnerabilidad de seguridad en 7-Zip, que permite a atacantes remotos ejecutar código malicioso a través de archivos especialmente diseñados.

Análisis

La vulnerabilidad identificada como CVE-2024-11477 ha recibido una puntuación CVSS alta de 7,8, lo que indica riesgos de seguridad significativos para los usuarios de las versiones afectadas.

La vulnerabilidad existe específicamente dentro de la implementación de descompresión Zstandard, donde una validación incorrecta de los datos proporcionados por el usuario puede resultar en un desbordamiento de enteros antes de escribir en la memoria. El formato Zstandard, particularmente frecuente en entornos Linux , se usa comúnmente en varios sistemas de archivos, incluidos Btrfs, SquashFS y OpenZFS.

Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario en el contexto del proceso actual cuando los usuarios interactúan con archivos maliciosos.

Los atacantes pueden explotar esta vulnerabilidad convenciendo a los usuarios de que abran archivos cuidadosamente preparados, que podrían distribuirse a través de archivos adjuntos de correo electrónico o archivos compartidos.
La vulnerabilidad plantea riesgos importantes ya que permite a los atacantes:

    • Ejecutar código arbitrario en los sistemas afectados
    • Obtener los mismos derechos de acceso que los usuarios que iniciaron sesión
    • Potencialmente lograr un compromiso completo del sistema

Recursos afectados

    • 7-ZIP en versiones anteriores a la versión 24.07

Recomendaciones

7-Zip ha solucionado este problema de seguridad en la versión 24.07.
Dado que el software carece de un mecanismo de actualización integrado, los usuarios deben descargar e instalar manualmente la última versión para proteger sus sistemas. Los administradores de TI y los desarrolladores de software que implementan 7-Zip en sus productos deben actualizar inmediatamente sus instalaciones a la versión parcheada.
Los expertos en seguridad enfatizan la importancia de aplicar parches rápidamente, ya que la vulnerabilidad requiere una experiencia técnica mínima para explotarla, aunque actualmente no hay malware conocido que esté apuntando a esta vulnerabilidad.

Referencias