Microsoft ha abordado varias vulnerabilidades críticas que afectan servicios como Azure PolicyWatch, Dynamics 365 Sales y Partner Center. Algunas de ellas han sido catalogadas como críticas y podrían permitir la elevación de privilegios, acceso no autorizado y otros riesgos significativos. Una de las vulnerabilidades, CVE-2024-49035, ya ha sido explotada en ataques activos, según los informes de la compañía.
- CVE-2024-49038 (CVSS 9.3): En Microsoft Copilot Studio, una vulnerabilidad de Cross-site Scripting (XSS) facilita la elevación de privilegios mediante la manipulación de entradas no depuradas durante la generación de páginas web.
- CVE-2024-49035 (CVSS 8.7): En el Partner Center de Microsoft, una falla en los controles de acceso permite a atacantes no autenticados escalar privilegios sobre la red. Esto podría comprometer datos sensibles y funcionalidades críticas.
- CVE-2024-49052 (CVSS 8.2): Una falta de autenticación en funciones críticas de Microsoft Azure PolicyWatch permite a atacantes no autenticados escalar privilegios de manera remota, exponiendo información sensible y servicios clave.
- CVE-2024-49053 (CVSS 7.6): En Microsoft Dynamics 365 Sales, una vulnerabilidad de suplantación permite redirigir a usuarios autenticados hacia sitios maliciosos mediante URLs manipuladas, comprometiendo la seguridad de las operaciones.
| CVE | Producto Afectado |
| CVE-2024-49038 | Microsoft Copilot Studio |
| CVE-2024-49035 | Microsoft Partner Center |
| CVE-2024-49052 | Microsoft Azure Functions |
| CVE-2024-49053 | Dynamics 365 Sales for Android |
Recomendaciones:
- Actualizar inmediatamente los sistemas y aplicaciones afectados con las versiones más recientes proporcionadas por Microsoft.
- Implementar configuraciones de seguridad adicionales, como autenticación multifactor, para proteger servicios críticos.
- Supervisar registros de actividad y tráfico de red para detectar y responder a intentos de explotación de estas vulnerabilidades.
Referencias: