Microsoft lanza parches de seguridad para solucionar 73 fallos, incluyendo dos vulnerabilidades zero-day que han sido explotadas activamente. De las 73 vulnerabilidades, 5 se consideran críticas, 65 importantes y 3 moderadas en gravedad. Además, se solucionaron 24 problemas en el navegador Edge basado en Chromium desde el lanzamiento de los parches de enero de 2024.
Entre las dos vulnerabilidades zero-day que fueron explotadas activamente en el momento del lanzamiento, se encuentran CVE-2024-21351 y CVE-2024-21412. El primero es una vulnerabilidad de omisión en la función de seguridad de Windows SmartScreen y el segundo es una vulnerabilidad de omisión en la función de seguridad de archivos de acceso directo a Internet.
La explotación exitosa de estas fallas podría permitir a un atacante eludir las protecciones de SmartScreen y ejecutar código arbitrario.
Además, Trend Micro ha detallado una campaña de ataque emprendida por Water Hydra, que aprovecha la CVE-2024-21412, describiéndola como una omisión para CVE-2023-36025, lo que permite a los actores malintencionados evadir las comprobaciones de SmartScreen.
Por último, las vulnerabilidades se han agregado al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de la Agencia de Seguridad Cibernética y de Infraestructura de EE. UU. (CISA), instando a las agencias federales a aplicar las últimas actualizaciones antes del 5 de marzo de 2024.
Vía The Hacker News
