Microsoft cerró sus actualizaciones del martes de parches para 2024 con correcciones para un total de 72 fallos de seguridad que abarca su cartera de software, incluido uno que, según dijo, ha sido explotado en la naturaleza.
De los 72 defectos, 17 están clasificados como críticos, 54 como importantes y uno como moderado en gravedad. Treinta y una de las vulnerabilidades son fallas de ejecución remota de código y 27 de ellas permiten la elevación de privilegios.
Esto es además de 13 vulnerabilidades la compañía ha abordado en su navegador Edge basado en Chromium desde el lanzamiento de la actualización de seguridad del mes pasado. En total, Microsoft ha resuelto hasta 1088 vulnerabilidades sólo en 2024, según Fortra.
La vulnerabilidad que Microsoft ha reconocido como explotada activamente es CVE-2024-49138 (Puntuación CVSS: 7,8), una falla de escalada de privilegios en el controlador del sistema de archivos de registro común (CLFS) de Windows.
“Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios del SISTEMA”, dijo la compañía en un aviso, acreditando a la compañía de ciberseguridad CrowdStrike por descubrir e informar la falla.
Vale la pena señalar que CVE-2024-49138 es la quinta falla de escalada de privilegios CLFS explotada activamente desde 2022 después de CVE-2022-24521, CVE-2022-37969, CVE-2023-23376 y CVE-2023-28252 (puntuaciones CVSS: 7,8). ). También es la novena vulnerabilidad en el mismo componente que se corrige este año.
“Aunque aún no se conocen los detalles de la explotación en estado salvaje, mirando hacia atrás en la historia de las vulnerabilidades del controlador CLFS, es interesante observar que los operadores de ransomware han desarrollado una inclinación por explotar las fallas de elevación de privilegios de CLFS en los últimos años. ” dijo Satnam Narang, ingeniero de investigación senior de Tenable, a The Hacker News.
“A diferencia de los grupos de amenazas persistentes avanzadas que normalmente se centran en la precisión y la paciencia, los operadores y afiliados de ransomware se centran en tácticas de aplastamiento y captura por cualquier medio necesario. Al utilizar fallas de elevación de privilegios como esta en CLFS, los afiliados de ransomware pueden moverse a través de un determinado red para robar y cifrar datos y comenzar a extorsionar a sus víctimas”.
El hecho de que CLFS se haya convertido en una vía de ataque atractiva para actores maliciosos no ha pasado desapercibido para Microsoft, que dijo que está trabajando para agregar un nuevo paso de verificación al analizar dichos archivos de registro.
“En lugar de intentar validar valores individuales en estructuras de datos de archivos de registro, esta mitigación de seguridad proporciona a CLFS la capacidad de detectar cuándo los archivos de registro han sido modificados por algo que no sea el propio controlador CLFS”, Microsoft anotado a finales de agosto de 2024. “Esto se logró agregando códigos de autenticación de mensajes basados en hash (HMAC) al final del archivo de registro”.
Desde entonces, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado la falla de sus vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las remediaciones necesarias antes del 31 de diciembre de 2024.
El error de mayor gravedad en el lanzamiento de este mes es una falla de ejecución remota de código que afecta al Protocolo ligero de acceso a directorios (LDAP) de Windows. Se rastrea como CVE-2024-49112 (Puntuación CVSS: 9,8).
“Un atacante no autenticado que explotara con éxito esta vulnerabilidad podría obtener la ejecución de código a través de un conjunto especialmente diseñado de llamadas LDAP para ejecutar código arbitrario dentro del contexto del servicio LDAP”, dijo Microsoft.
También cabe destacar otras dos fallas de ejecución remota de código que afectan a Windows Hyper-V (CVE-2024-49117puntuación CVSS: 8,8), Cliente de escritorio remoto (CVE-2024-49105puntuación CVSS: 8,4) y Microsoft música (CVE-2024-49063puntuación CVSS: 8,4).
El desarrollo se produce cuando 0patch lanzó correcciones no oficiales para una vulnerabilidad de día cero de Windows que permite a los atacantes capturar credenciales de NT LAN Manager (NTLM). Se han retenido detalles adicionales sobre la falla hasta que esté disponible un parche oficial.
“La vulnerabilidad permite a un atacante obtener las credenciales NTLM del usuario simplemente haciendo que el usuario vea un archivo malicioso en el Explorador de Windows, por ejemplo, abriendo una carpeta compartida o un disco USB con dicho archivo, o viendo la carpeta de Descargas donde dicho archivo se descargó previamente automáticamente. desde la página web del atacante”, Mitja Kolsek dicho.
A finales de octubre también se lanzaron parches gratuitos no oficiales. puesto a disposición para abordar una vulnerabilidad de día cero de Windows Themes que permite a los atacantes robar las credenciales NTLM de un objetivo de forma remota.
0patch también tiene microparches emitidos para otra vulnerabilidad previamente desconocida en Windows Server 2012 y Server 2012 R2 que permite a un atacante eludir las protecciones de Marca de la Web (MotW) en ciertos tipos de archivos. Se cree que el problema se introdujo hace más de dos años.
Con NTLM bajo explotación extensiva a través de retransmisiones y ataques de pasar el hashMicrosoft ha anunciado planes para desaprobar el protocolo de autenticación heredado en favor de Kerberos. Además, ha dado el paso de habilitar la Protección extendida para la autenticación (EPA) de forma predeterminada para instalaciones nuevas y existentes de Exchange 2019.
Microsoft dijo que ha implementado una mejora de seguridad similar en Azure Directory Certificate Services (AD CS) al habilitar EPA de forma predeterminada con el lanzamiento de Windows Server 2025, que también elimina la compatibilidad con NTLM v1 y desaprueba NTLM v2. Estos cambios también se aplican a Windows 11 24H2.
“Además, como parte de la misma versión de Windows Server 2025, LDAP ahora tiene el enlace de canales habilitado de forma predeterminada”, dijo el equipo de seguridad de Redmond. dicho a principios de esta semana. “Estas mejoras de seguridad mitigan el riesgo de que NTLM retransmita ataques de forma predeterminada en tres servicios locales: Exchange Server, Active Directory Certificate Services (AD CS) y LDAP”.
“A medida que avanzamos hacia la desactivación de NTLM de forma predeterminada, los cambios inmediatos y a corto plazo, como habilitar EPA en Exchange Server, AD CS y LDAP, refuerzan una postura ‘segura por defecto’ y protegen a los usuarios de ataques del mundo real”.
Parches de software de otros proveedores
Fuera de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas:
About the Author
