Author: Seguridad CSIRT-CV

La publicació d’actualitzacions de seguretat de Microsoft, corresponent a la publicació de vulnerabilitats del 13 d’agost, que consta de 90 vulnerabilitats, incloses 10 vulnerabilitats crítiques de dia zero.

Anàlisi

Microsoft va publicar el dimarts correccions per a abordar un total de 90 fallades de seguretat, incloses 10 de dia zero, de les quals 6 han sigut explotades activament.

Dels 90 errors, 7 estan classificats de crítics, 79 d’importants i 1 de gravetat moderada. Això se suma a les 36 vulnerabilitats que va resoldre en el seu navegador Edge el mes passat.

Les actualitzacions es destaquen per abordar 6 vulnerabilitats de dia zero explotades activament:

CVE-2024-38189 (puntuació CVSS: 8,8): vulnerabilitat d’execució remota de codi en Microsoft Project.
CVE-2024-38178 (puntuació CVSS: 7,5): vulnerabilitat de corrupció de memòria en Windows Scripting Engine.
CVE-2024-38193 (puntuació CVSS: 7,8): vulnerabilitat d’elevació de privilegis en el controlador de funcions auxiliars de Windows per a WinSock
CVE-2024-38106 (puntuació CVSS: 7,0): vulnerabilitat d’elevació de privilegis en el kernel de Windows
CVE-2024-38107 (puntuació CVSS: 7,8): vulnerabilitat d’elevació de privilegis del coordinador de dependència d’energia de Windows.
CVE-2024-38213 (puntuació CVSS: 6,5): vulnerabilitat d’omissió de funcions de seguretat de la marca de la Web de Windows.
CVE-2024-38213, que permet als atacants eludir les proteccions SmartScreen, requerix que un atacant envie a l’usuari un arxiu maliciós i el convença d’obrir-lo. Peter Girnus, de Trend Micro, s’atribuïx el descobriment i la notificació de la fallada, i suggerix que podria ser una manera d’eludir CVE-2024-21412 o CVE-2023-36025, que van ser explotades anteriorment pels operadors del programari maliciós DarkGate.

Quatre dels CVE que s’indiquen a continuació s’enumeren com a coneguts públicament:

CVE-2024-38200 (puntuació CVSS: 7,5): vulnerabilitat de suplantació d’identitat de Microsoft Office.
CVE-2024-38199 (puntuació CVSS: 9,8): vulnerabilitat d’execució remota de codi en el servici LPD (Line Printer Daemon) de Windows.
CVE-2024-21302 (puntuació CVSS: 6,7): vulnerabilitat d’elevació de privilegis en el mode kernel segur de Windows.
CVE-2024-38202 (puntuació CVSS: 7,3): vulnerabilitat d’elevació de privilegis en Windows Update Stack.

Recursos afectats
Diversos productes de Microsoft

Recomanacions

Instal·lar l’actualització de seguretat corresponent. En la pàgina de Microsoft s’informa dels diferents mètodes per a dur a terme estes actualitzacions.

Referències

• • https://msrc.microsoft.com/update-guide/releasenote/2024-aug
  • https://thehackernews.com/2024/08/microsoft-issues-patches-for-90-flaws.html

Un grup d’investigadors de la Universitat Estatal de Pennsilvània (els Estats Units) ha descobert una vulnerabilitat en la xarxa 5G que posava en risc la seguretat dels telèfons mòbils, ja que podria haver permés als ciberdelinqüents piratejar sigilosament les víctimes i espiar-les.

Els investigadors van presentar les seues troballes en la conferència de ciberseguretat Black Hat a Las Vegas dimecres. A més, han publicat un article tècnic en USENIX Security 2024: “Logic Gone Astray: A Security Analysis Framework for the Control Plane Protocols of 5G Basebands”.

Segons TechCrunch, utilitzant una ferramenta d’anàlisi personalitzada anomenada 5GBaseChecker, els investigadors van descobrir l’error en un grup de bandes base fabricades per Samsung, MediaTek i Qualcomm, que s’utilitzen en telèfons fabricats per Google, OPPO, OnePlus, Motorola i Samsung. Però, com aconseguixen els ciberdelinqüents accedir als dispositius?

Els investigadors expliquen que els atacants poden enganyar els mòbils perquè es connecten a una estació base falsa, d’esta manera poden enviar atacs de pesca mitjançant missatges de text o redirigir les víctimes a una pàgina web per a robar dades bancàries o informació personal. A més, una altra vulnerabilitat provocada pels ciberdelinqüents consistix a conéixer la ubicació del dispositiu afectat per a llançar un atac de denegació de servici.

No obstant això, els investigadors van afirmar que la majoria dels proveïdors va solucionar la vulnerabilitat, tenint en compte que “van identificar i van solucionar dotze errors en diferents bandes base 5G”.

A més, el portaveu de Samsung, Chris Langlois, va declarar al mateix mitjà de comunicació que la companyia havia “llançat pedaços de programari als proveïdors de telèfons intel·ligents afectats per a abordar i resoldre este assumpte”, mentres que el portaveu de Google, Matthew Flegal, també va confirmar que els errors ja estaven solucionats

Referències

• • https://blog.segu-info.com.ar/2024/08/vulnerabilidades-en-banda-5g-permite.html
  • https://techcrunch.com/2024/08/07/hackers-could-spy-on-cellphone-users-by-abusing-5g-baseband-flaws-researchers-say/?guccounter=1

Anàlisi

La vulnerabilitat ha sigut identificada com a CVE-2024-38200; això és, causada per una debilitat de divulgació d’informació que permet que actors no autoritzats accedisquen a informació protegida. Si bé l’avaluació d’explotabilitat de Microsoft diu que l’explotació de CVE-2024-38200 és menys probable, MITRE ha etiquetat la probabilitat d’explotació d’esta classe de debilitat d’altament probable.

S’espera que s’envie un pedaç formal per a corregir esta vulnerabilitat demà dia 13 d’agost com a part de les seues actualitzacions mensuals dels dimarts, així i tot també han indicat que han identificat una solució alternativa que han habilitat a través de Feature Flighting a partir del 30 de juliol de 2024.

Finalment, han assenyalat que si bé els clients ja estan protegits en totes les versions amb suport de Microsoft Office i Microsoft 365, és essencial actualitzar a la versió final del pedaç a partir del dia 13.

Recursos afectats

• • Versions d’Office de 32 i 64 bits, incloses Office 2016, Office 2019, Office LTSC 2021 i Microsoft 365 Apps for Enterprise.

Recomanacions

Microsoft ha indicat com a mesura de mitigació que es pot bloquejar el trànsit NTLM sortint utilitzant els següents tres mètodes:

• • Configuració de la política de grup Seguretat de xarxa: Restringir NTLM: Trànsit NTLM sortint a servidors remots per a permetre, bloquejar o auditar el trànsit NTLM sortint des d’un equip amb Windows 7, Windows Server 2008 o posterior a qualsevol servidor remot que execute el sistema operatiu Windows. En este cas, convé utilitzar la política per a bloquejar el trànsit NTLM.
  • Agregar usuaris al grup de seguretat d’usuaris protegits , que restringix l’ús d’NTLM com a mecanisme d’autenticació.
  • Bloquejant tot el trànsit sortint al port TCP 445.

Però advertix que utilitzar qualsevol d’estes mitigacions podria impedir l’accés legítim a servidors remots que depenen de l’autenticació NTLM.

Referències

• • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38200
  • https://thehackernews.com/2024/08/microsoft-warns-of-unpatched-office.html
  • https://www.bleepingcomputer.com/news/security/microsoft-discloses-unpatched-office-flaw-that-exposes-ntlm-hashes/

Els investigadors advertixen sobre vulnerabilitats en el programari de correu web Roundcube que podrien ser explotades per a robar informació confidencial dels comptes objectiu.

Anàlisi

L’equip d’investigació de vulnerabilitats de Sonar va descobrir dos vulnerabilitats crítiques de tipus Cross-Site Scripting (XSS) en el programari de correu web de codi obert Roundcube. Roundcube està inclòs de manera predeterminada en el panell d’allotjament de servidors cPanel, que compta amb milions d’instal·lacions a tot el món.

Un atacant pot activar la vulnerabilitat per a executar JavaScript arbitrari en el navegador de la víctima quan veu un correu electrònic maliciós, la qual cosa podria provocar el robatori de correus electrònics, contactes, contrasenyes i l’enviament de correus electrònics no autoritzats.

Les vulnerabilitats XSS han sigut identificades com CVE-2024-42009 i CVE-2024-42008, que tenen qualificacions crítiques i altes respectivament.

No es requerix interacció de l’usuari per a explotar amb èxit CVE-2024-42009, mentres que per a CVE-2024-42008, es necessita un sol clic per part de la víctima.

Recursos afectats

• • Versions 1.6.7 i anteriors de Roundcube, i a les versions 1.5.7 i anteriors.

Recomanacions

• • Els investigadors recomanen encaridament als administradors de Roundcube que apliquen els pegats més recents (versió 1.6.8 o 1.5.8) immediatament. Els usuaris afectats han de canviar les seues contrasenyes de correu electrònic i esborrar les dades del lloc del seu navegador per a Roundcube.

Referències

• • https://securityaffairs.com/166736/hacking/critical-xss-bug-in-roundcube-webmail.html
•