Actualizaciones de seguridad de Microsoft (Junio 2024)

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 12 de junio, consta de 49 vulnerabilidades calificada una como crítica, que afecta a Windows Server Service, y el resto divididas entre severidades importantes, moderadas y bajas.

Análisis

La vulnerabilidad crítica afecta a Windows Server Service y consiste en una ejecución remota de código (CVE-2024-30080).

Los códigos CVE asignados a las vulnerabilidades no críticas reportadas pueden consultarse en las referencias.

Además, ZDI ha publicado un aviso en su web notificando una vulnerabilidad 0day de divulgación de información en la asignación de permisos de Microsoft Windows. Esta vulnerabilidad permite a atacantes locales revelar información confidencial o crear una condición de denegación de servicio en las instalaciones afectadas de Microsoft Windows. El comportamiento vulnerable se produce solo en determinadas configuraciones de hardware.

Versiones Afectadas

    • Azure Data
    • Science Virtual Machines,
    • Azure File Sync,
    • Azure Monitor,
    • Azure SDK,
    • Azure Storage Library,
    • Dynamics Business Central,
    • Microsoft Dynamics,
    • Microsoft Office,
    • Microsoft Office Outlook,
    • Microsoft Office SharePoint,
    • Microsoft Office Word,
    • Microsoft Streaming Service,
    • Microsoft WDAC OLE DB provider for SQL,
    • Microsoft Windows Speech,
    • Visual Studio,
    • Windows Cloud Files Mini Filter Driver,
    • Windows Container Manager Service,
    • Windows Cryptographic Services,
    • Windows DHCP Server,
    • Windows Distributed File System (DFS),
    • Windows Event Logging Service,
    • Windows Kernel,
    • Windows Kernel-Mode Drivers,
    • Windows Link Layer Topology Discovery Protocol,
    • Windows NT OS Kernel,
    • Windows Perception Service,
    • Windows Remote Access Connection Manager,
    • Windows Routing and Remote Access Service (RRAS),
    • Windows Server Service,
    • Windows Standards-Based Storage Management Service,
    • Windows Storage,
    • Windows Themes,
    • Windows Wi-Fi Driver,
    • Windows Win32 Kernel Subsystem,
    • Windows Win32K – GRFX,
      Winlogon.

Recomendaciones

    • Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Referencias

Campanya de suplantació de l’Agència Tributària

S’ha detectat una campanya de correus electrònics fraudulents en què, fingint una notificació d’un reemborsament d’impostos, conté un enllaç a un fals formulari de l’Agència Tributària on se sol·liciten les dades personals.

Anàlisi

Els correus detectats en esta campanya seguixen una estructura similar.

Es tracta de correus la remitent dels quals figura com a “Agencia Tributaria” però l’adreça de correu remitent és “reembolso@golf855.startdedicated[.]net“, sense cap relació amb l’Agència Tributària.

Els correus detectats fins ara tenen els següents assumptes, encara que no es descarta que puguen variar introduint noves combinacions en la part final “-ESXXX”

    • Reembolso de impuestos – ESIFGU7656789876RDYIU765
    • Reembolso de impuestos – ESTRG765TY87789FGKLIJH
    • Reembolso de impuestos – ES8765RTYHGFGHJUY78
    • Reebolso de impuestos – ESUYT656589787RFYGUI876

Estos correus porten adjunt el següent enllaç, catalogat com a maliciós

    • https://auth-serveronline-serv[.]de/httpssedeagenciatributarageniagobesSededeclaracisinaonesinformativasompuestostasasimestosobreactividadeseconomicas/

(https://www.virustotal.com/gui/url/76aa113ed942f101cbfa7dcabf273b699c0bc4e6656681a350eedc0748318fda)

A continuació s’adjunta una captura de pantalla de l’aspecte de la pàgina quan s’accedix, on s’aprecia que es tracta d’una falsificació amb un gran detall.

Recomanacions

Encara que s’ha comprovat que actualment sembla que la pàgina ja no està activa, si s’ha rebut un correu electrònic com el descrit més amunt, es recomana no respondre, ni interactuar amb l’enllaç, ni emplenar el formulari i eliminar el correu immediatament. També es recomana posar-ho en coneixement de l’equip d’IT i de la resta d’empleats per a evitar possibles víctimes.

Si ha respost al correu i, fins i tot, ha proporcionat algun tipus d’informació, recomanem recopilar les evidències, per exemple, en forma de captures de pantalla, i contactar amb l’Agència Tributària sobre el correu rebut a través de la seua pàgina d’ajuda.

  •  

Vulnerabilitat de dia zero en Chrome

Dijous passat, 23 de maig, Google va implementar solucions per a abordar una vulnerabilitat de seguretat d’alta gravetat en el seu navegador Chrome que, segons va dir, estava en ús.

Anàlisi

Assignat l’identificador CVE-2024-5274, la vulnerabilitat es relaciona amb un error de confusió de tipus en el motor V8 JavaScript i WebAssembly. Va ser informat per Clément Lecigne del Grup d’Anàlisi d’Amenaces de Google i Brendon Tiszka de Chrome Security, el 20 de maig de 2024.

Les vulnerabilitats de confusió de tipus ocorren quan un programa intenta accedir a un recurs amb un tipus incompatible. Pot tindre conseqüències greus, ja que permet als actors d’amenaces realitzar accessos a la memòria fora dels límits, provocar un bloqueig i executar un codi arbitrari.

Així mateix, va reconéixer que hi ha un explotador per a CVE-2024-5274 en ús, per la qual cosa recomana aplicar l’actualització més recent per a corregir la vulnerabilitat reportada.

Recursos afectats

    • Versions anteriors a 125.0.6422.112/.113 de Chrome per a Windows i macOS, i a la versió 125.0.6422.112 per a Linux.

Recomanacions

    • Es recomana als usuaris actualitzar a la versió 125.0.6422.112/.113 de Chrome per a Windows i macOS, i a la versió 125.0.6422.112 per a Linux per a mitigar possibles amenaces.

      També es recomana als usuaris de navegadors basats ​​en Chromium, com Microsoft Edge, Brave, Opera i Vivaldi, que apliquen les correccions quan estiguen disponibles.

Referències

Vulnerabilitat d’omissió d’autenticació en GitHub Enterprise Server

Introducció

GitHub Enterprise Server (GHES) conté una
vulnerabilitat de severitat crítica, de tipus omissió d’autenticació i que va
ser detectada dins del programa
bug bounty del mateix fabricador, l’explotació del qual podria permetre a un atacant
falsificar una resposta SAML i obtindre privilegis d’administrador.

Anàlisis

La vulnerabilitat afecta a SAML SSO amb la funció opcional d’assercions xifrades. Un atacant podria falsificar una afirmació (claim) SAML que continga informació correcta sobre l’usuari. Quan GHES processe esta afirmació errònia no podrà validar la seua firma correctament, la qual cosa permetrà a un atacant obtindre accés a la instància de GHES. Es tenen constància de la publicació d’una prova de concepte (PoC) associada a esta vulnerabilitat. S’ha assignat l’identificador CVE-2024-4985 per a esta vulnerabilitat i, si bé encara no ha sigut corroborat per cap entitat oficial, Github l’ha catalogada com a Crítica en donar-li un valor de 10.0 seguint el CVSS 4.0.

Recursos afectats

GitHub Enterprise Server, versions:

    • des de 3.12.0 fins a 3.12.3.
    • des de 3.11.0 fins a 3.11.9.
    • des de 3.10.0 fins a 3.10.11.
    • des de 3.9.0 fins a 3.9.14.

Recomanacions

Actualitze GitHub Enterprise Server a les versions:

    • 3.12.4;
    • 3.11.10;
    • 3.10.12;
    • 3.9.15.

 

Referencias

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-omision-de-autenticacion-en-github-enterprise-server

https://nvd.nist.gov/vuln/detail/CVE-2024-4985