Microsoft ha lanzado actualizaciones de seguridad que resuelven un total de 60 nuevas vulnerabilidades, incluidas, según su gravedad, 33 altas y 27 medias.
Productos Afectados
.NET and Visual Studio
Azure Migrate
Microsoft Bing
Microsoft Brokering File System
Microsoft Dynamics 365 Customer Insights
Microsoft Edge (Chromium-based)
Microsoft Intune
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft WDAC OLE DB provider for SQL
Microsoft Windows SCSI Class System File
Microsoft Windows Search Component
Power BI
Visual Studio
Windows Cloud Files Mini Filter Driver
Windows CNG Key Isolation Service
Windows Common Log File System Driver
Windows Cryptographic Services
Windows Deployment Services
Windows DHCP Server
Windows DWM Core Library
Windows Hyper-V
Windows Kernel
Windows Mark of the Web (MOTW)
Windows Mobile Broadband
Windows MSHTML Platform
Windows NTFS
Windows Remote Access Connection Manager
Windows Routing and Remote Access Service (RRAS)
Windows Task Scheduler
Windows Win32K – GRFX
Windows Win32K – ICOMP
Impacto de la vulnerabilidad
- CVE-2024-30044: Se le ha asignado una puntuación de 8.8 en la escala CVSSv3, con una severidad alta. Esta vulnerabilidad afecta a Microsoft SharePoint Server, permitiendo la ejecución remota de código (RCE). Esta vulnerabilidad podría permitir a un actor malicioso, como robar información confidencial, modificar datos o tomar control del sistema de forma remota.
- CVE-2024-30040: Se le ha asignado una puntuación de 8.8 en la escala CVSSv3, con una severidad alta. Esta vulnerabilidad de seguridad de Windows MSHTML Platform Security Feature Bypass. Un actor malicioso podría explotar esta vulnerabilidad a través de técnicas de ingeniería social, convenciendo al usuario para que abra un documento especialmente diseñado, momento en el cual el actor malicioso podría ejecutar código arbitrario en el contexto del usuario.
- CVE-2024-30051: Se le ha asignado una puntuación de 7.8 en la escala CVSSv3, con una severidad alta. Vulnerabilidad del tipo escalamiento de privilegios (EoP) en la librería principal de Desktop Window Manager (DWM). Un actor malicioso posicionado de forma local podría explotar esta vulnerabilidad para obtener escalar de privilegios en el sistema.
- CVE-2024-30046: Se le ha asignado una puntuación de 5.9 en la escala CVSSv3, con una severidad media. Esta vulnerabilidad de denegación de servicio (DoS) en múltiples versiones de Visual Studio 2022. Una función desconocida es afectada por esta vulnerabilidad. A través de la manipulación de un entradas en el sistema, lo que podría causar una condición de carrera, derivando en una denegación de servicio.
Recomendación:
Se recomienda a los administradores de sistemas aplicar los parches de seguridad y últimas actualizaciones disponibles emitidas por el fabricante.
Referencia:
- https://msrc.microsoft.com/update-guide/releaseNote/2024-May
- https://msrc.microsoft.com/update-guide
- https://www.tenable.com/blog/microsofts-may-2024-patch-tuesday-addresses-59-cves-cve-2024-30051-cve-2024-30040