Se han lanzado actualizaciones de seguridad para múltiples productos Microsoft. Estas actualizaciones resuelven 89 vulnerabilidades, incluídas 4 vulnerabilidades de tipo 0-day.
Productos Afectados
.NET and Visual Studio
Airlift.microsoft.com
Azure CycleCloud
Azure Database for PostgreSQL
LightGBM
Microsoft Exchange Server
Microsoft Graphics Component
Microsoft Office Excel
Microsoft Office Word
Microsoft PC Manager
Microsoft Virtual Hard Drive
Microsoft Windows DNS
Role: Windows Hyper-V
SQL Server
TorchGeo
Visual Studio
Visual Studio Code
Windows Active Directory Certificate Services
Windows CSC Service
Windows Defender Application Control (WDAC)
Windows DWM Core Library
Windows Kerberos
Windows Kernel
Windows NT OS Kernel
Windows NTLM
Windows Package Library Manager
Windows Registry
Windows Secure Kernel Mode
Windows SMB
Windows SMBv3 Client/Server
Windows Task Scheduler
Windows Telephony Service
Windows Update Stack
Windows USB Video Driver
Windows VMSwitch
Windows Win32 Kernel Subsystem
Impacto
Las 4 vulnerabilidades 0-day se identifican como:
CVE-2024-49039: Puntuación CVSS 8.8, severidad alta. Una vulnerabilidad en Windows Task Scheduler permitiría a un atacante escalar sus privilegios en los sistemas vulnerables.
CVE-2024-49019: Puntuación CVSS 7.8, severidad alta. Una vulnerabilidad en Active Directory Certificate Services permitiría a un atacante obtener privilegios de administrador en los sistemas vulnerables.
CVE-2024-49040: Puntuación CVSS 7.5, severidad alta. Una vulnerabilidad en Microsoft Exchange Server 2016/2019 permitiría a un atacante enviar correos maliciosos suplantando una dirección de correo legítima.
CVE-2024-43451: Puntuación CVSS 6.5, severidad media. Una vulnerabilidad en Net-NTLMv2 que permitiría a un atacante obtener el hash NTLMv2 de un usuario autenticado para ingresar al sistema sin autorización.
Otras vulnerabilidades importantes se identifican como:
CVE-2024-43602: Puntuación CVSS 9.9, severidad crítica. Una vulnerabilidad en Azure CycleCloud permitiría a un atacante con permisos básicos obtener privilegios root.
CVE-2024-43498: Puntuación CVSS 9.8, severidad crítica. Una vulnerabilidad en .NET y Visual Studio permitiría a un atacante remoto no autenticado enviar consultas maliciosas a una aplicación web .NET para ejecutar código arbitrario.
CVE-2024-43639: Puntuación CVSS 9.8, severidad crítica. Una vulnerabilidad en Windows Kerberos permitiría a un atacante remoto no autenticado ejecutar código arbitrario.
Recomendación
Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.
Referencia
https://msrc.microsoft.com/update-guide/releaseNote/2024-Nov
https://www.tenable.com/cve/CVE-2024-49039
https://www.tenable.com/cve/CVE-2024-43451
https://www.tenable.com/cve/CVE-2024-49019
https://www.tenable.com/cve/CVE-2024-49040
https://www.tenable.com/cve/CVE-2024-43602
https://www.tenable.com/cve/CVE-2024-43498
https://www.tenable.com/cve/CVE-2024-43639