Actualizaciones de seguridad de Microsoft (Junio 2024)

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 12 de junio, consta de 49 vulnerabilidades calificada una como crítica, que afecta a Windows Server Service, y el resto divididas entre severidades importantes, moderadas y bajas.

Análisis

La vulnerabilidad crítica afecta a Windows Server Service y consiste en una ejecución remota de código (CVE-2024-30080).

Los códigos CVE asignados a las vulnerabilidades no críticas reportadas pueden consultarse en las referencias.

Además, ZDI ha publicado un aviso en su web notificando una vulnerabilidad 0day de divulgación de información en la asignación de permisos de Microsoft Windows. Esta vulnerabilidad permite a atacantes locales revelar información confidencial o crear una condición de denegación de servicio en las instalaciones afectadas de Microsoft Windows. El comportamiento vulnerable se produce solo en determinadas configuraciones de hardware.

Versiones Afectadas

    • Azure Data
    • Science Virtual Machines,
    • Azure File Sync,
    • Azure Monitor,
    • Azure SDK,
    • Azure Storage Library,
    • Dynamics Business Central,
    • Microsoft Dynamics,
    • Microsoft Office,
    • Microsoft Office Outlook,
    • Microsoft Office SharePoint,
    • Microsoft Office Word,
    • Microsoft Streaming Service,
    • Microsoft WDAC OLE DB provider for SQL,
    • Microsoft Windows Speech,
    • Visual Studio,
    • Windows Cloud Files Mini Filter Driver,
    • Windows Container Manager Service,
    • Windows Cryptographic Services,
    • Windows DHCP Server,
    • Windows Distributed File System (DFS),
    • Windows Event Logging Service,
    • Windows Kernel,
    • Windows Kernel-Mode Drivers,
    • Windows Link Layer Topology Discovery Protocol,
    • Windows NT OS Kernel,
    • Windows Perception Service,
    • Windows Remote Access Connection Manager,
    • Windows Routing and Remote Access Service (RRAS),
    • Windows Server Service,
    • Windows Standards-Based Storage Management Service,
    • Windows Storage,
    • Windows Themes,
    • Windows Wi-Fi Driver,
    • Windows Win32 Kernel Subsystem,
    • Windows Win32K – GRFX,
      Winlogon.

Recomendaciones

    • Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Referencias

Campaña de suplantación de la Agencia Tributaria

Se ha detectado una campaña de correos electrónicos fraudulentos, que fingiendo una notificación de un rembolso de impuestos, contiene un enlace a un falso formulario de la agencia tributaria donde se solicitan los datos personales.

Análisis

Los correos detectados en esta campaña siguen una estructura similar.

Se trata de correos cuyo remitente figura como «Agencia Tributaria» pero la dirección de correo remitente es «reembolso@golf855.startdedicated[.]net«, sin ninguna relación con la Agencia Tributaria.

Los correos detectados hasta ahora tienen como los siguientes asuntos, aunque no se descarta que puedan variar introduciendo nuevas combinaciones en la parte final «-ESXXX»

    • Reembolso de impuestos – ESIFGU7656789876RDYIU765
    • Reembolso de impuestos – ESTRG765TY87789FGKLIJH
    • Reembolso de impuestos – ES8765RTYHGFGHJUY78
    • Reebolso de impuestos – ESUYT656589787RFYGUI876

Dichos correos llevan adjunto el siguiente enlace, catalogado como malicioso

    • https://auth-serveronline-serv[.]de/httpssedeagenciatributarageniagobesSededeclaracisinaonesinformativasompuestostasasimestosobreactividadeseconomicas/

(https://www.virustotal.com/gui/url/76aa113ed942f101cbfa7dcabf273b699c0bc4e6656681a350eedc0748318fda)

A continuación se adjunta una captura de pantalla del aspecto de la pagina cuando se accede, donde se aprecia que se trata de una falsificación con un gran detalle.

Recomendaciones

Aunque se ha comprobado que actualmente parece que la pagina ya no está activa, si se ha recibido un correo electrónico como el descrito mas arriba, se recomienda no responder, ni interactuar con el enlace, ni rellenar el formulario y eliminar el correo inmediatamente. También se recomienda ponerlo en conocimiento del equipo de IT y del resto de empleados para evitar posibles víctimas.

En caso de haber respondido al correo e, incluso, haber proporcionado algún tipo de información, recomendamos recopilar las evidencias, por ejemplo, en forma de capturas de pantalla, y contactar con la Agencia Tributaria sobre el correo recibido a través de su página de ayuda.

  •  

Vulnerabilidad Zero-Day en Chrome

El pasado jueves 23 de mayo, Google implementó soluciones para abordar una vulnerabilidad de seguridad de alta gravedad en su navegador Chrome que, según dijo, había sido explotada en la naturaleza.

Análisis

Asignado el identificador CVE-2024-5274, la vulnerabilidad se relaciona con un error de confusión de tipos en el motor V8 JavaScript y WebAssembly. Fue informado por Clément Lecigne del Grupo de Análisis de Amenazas de Google y Brendon Tiszka de Chrome Security el 20 de mayo de 2024.

Las vulnerabilidades de confusión de tipos ocurren cuando un programa intenta acceder a un recurso con un tipo incompatible. Puede tener graves consecuencias, ya que permite a los actores de amenazas realizar accesos a la memoria fuera de los límites, provocar un bloqueo y ejecutar código arbitrario.

Así mismo, reconoció que existe un exploit para CVE-2024-5274 en la naturaleza por lo que recomienda aplicar la actualización mas reciente para corregir la vulnerabilidad reportada.

Versiones Afectadas

    • Versiones anteriores a 125.0.6422.112/.113 de Chrome para Windows y macOS, y a la versión 125.0.6422.112 para Linux.

Recomendaciones

    • Se recomienda a los usuarios actualizar a la versión 125.0.6422.112/.113 de Chrome para Windows y macOS, y a la versión 125.0.6422.112 para Linux para mitigar posibles amenazas.

También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.

Referencias

Vulnerabilidad de omisión de autenticación en GitHub Enterprise Server

Introducción

GitHub Enterprise Server (GHES) contiene una vulnerabilidad de severidad crítica, de tipo omisión de autenticación y que fue detectada dentro del programa bug bounty del propio fabricante, cuya explotación podría permitir a un atacante falsificar una respuesta SAML y obtener privilegios de administrador.

Análisis

La vulnerabilidad afecta a SAML SSO con la función opcional de aserciones cifradas. Un atacante podría falsificar una afirmación (claim) SAML que contenga información correcta sobre el usuario. Cuando GHES procese dicha afirmación errónea no podrá validar su firma correctamente, lo que permitirá a un atacante obtener acceso a la instancia de GHES. Se tienen constancia de la publicación de una prueba de concepto (PoC) asociada a esta vulnerabilidad. Se ha asignado el identificador CVE-2024-4985 para esta vulnerabilidad y, aunque aún no ha sido corroborado por ninguna entidad oficial, Github la ha catalogado como Crítica al darle un valor de 10.0 siguiendo el CVSS 4.0.

Versiones Afectadas

GitHub Enterprise Server, versiones:

    • desde 3.12.0 hasta 3.12.3.
    • desde 3.11.0 hasta 3.11.9.
    • desde 3.10.0 hasta 3.10.11.
    • desde 3.9.0 hasta 3.9.14.

Recomendaciones

Actualice GitHub Enterprise Server a las versiones:

    • 3.12.4;
    • 3.11.10;
    • 3.10.12;
    • 3.9.15.

Referencias

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-omision-de-autenticacion-en-github-enterprise-server

https://nvd.nist.gov/vuln/detail/CVE-2024-4985