Microsoft corrige 90 nuevas fallas, incluidos errores de NTLM y del programador de tareas explotados activamente


13 de noviembre de 2024Ravie LakshmananVulnerabilidad / Martes de parches

Microsoft reveló el martes que dos fallas de seguridad que afectan a Windows NT LAN Manager (NTLM) y al Programador de tareas han sido explotadas activamente en la naturaleza.

Las vulnerabilidades de seguridad se encuentran entre las 90 errores de seguridad el gigante tecnológico abordó como parte de su actualización del martes de parches para noviembre de 2024. De las 90 fallas, cuatro están clasificadas como críticas, 85 como importantes y una tiene una gravedad moderada. Cincuenta y dos de las vulnerabilidades parcheadas son fallas de ejecución remota de código.

Las correcciones se suman a 31 vulnerabilidades Microsoft resolvió en su navegador Edge basado en Chromium desde el lanzamiento de la actualización del martes de parches de octubre de 2024. Las dos vulnerabilidades que se han enumerado como explotadas activamente se encuentran a continuación:

  • CVE-2024-43451 (Puntuación CVSS: 6,5) – Vulnerabilidad de suplantación de identidad de divulgación de hash NTLM de Windows
  • CVE-2024-49039 (Puntuación CVSS: 8,8) – Vulnerabilidad de elevación de privilegios en el Programador de tareas de Windows

“Esta vulnerabilidad revela el hash NTLMv2 de un usuario al atacante, quien podría usarlo para autenticarse como usuario”, dijo Microsoft en un aviso para CVE-2024-43451, acreditando al investigador de ClearSky Israel Yeshurun ​​por descubrir e informar la falla.

Vale la pena señalar que CVE-2024-43451 es la tercera falla después de CVE-2024-21410 (parcheada en febrero) y CVE-2024-38021 (parcheada en julio) que puede usarse para revelar el hash NTLMv2 de un usuario y ha sido explotada en lo salvaje solo este año.

Ciberseguridad

“Los atacantes continúan siendo inflexibles en descubrir y explotar vulnerabilidades de día cero que pueden revelar hashes NTLMv2, ya que pueden usarse para autenticarse en sistemas y potencialmente moverse lateralmente dentro de una red para acceder a otros sistemas”, Satnam Narang, ingeniero senior de investigación de personal en Tenable, dijo en un comunicado.

CVE-2024-49039, por otro lado, podría permitir a un atacante ejecutar funciones RPC que de otro modo estarían restringidas a cuentas privilegiadas. Sin embargo, Microsoft señala que una explotación exitosa requiere que un atacante autenticado ejecute una aplicación especialmente diseñada en el sistema de destino para primero elevar sus privilegios a un nivel de integridad medio.

Vlad Stolyarov y Bahare Sabouri del Grupo de Análisis de Amenazas (TAG) de Google y un investigador anónimo han sido reconocidos por informar sobre la vulnerabilidad. Esto plantea la posibilidad de que la explotación de día cero de la falla esté asociada con algún grupo alineado con el Estado-nación o un actor de amenaza persistente avanzada (APT).

Actualmente no hay información sobre cómo se explotan las deficiencias en la naturaleza o qué tan extendidos están estos ataques, pero el desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar a las vulnerabilidades explotadas conocidas (KEV) catálogo.

Uno de los defectos de día cero divulgados públicamente, pero aún no explotados, es CVE-2024-49019 (Puntuación CVSS: 7,8), una vulnerabilidad de escalada de privilegios en los Servicios de certificados de Active Directory que podría aprovecharse para obtener privilegios de administrador de dominio. Los detalles de la vulnerabilidad, denominada EKUwu, fueron documentado por TrustedSec el mes pasado.

Otra vulnerabilidad a destacar es CVE-2024-43498 (Puntuación CVSS: 9,8), un error crítico de ejecución remota de código en .NET y Visual Studio que un atacante remoto no autenticado podría explotar enviando solicitudes especialmente diseñadas a una aplicación web .NET vulnerable o cargando un archivo especialmente diseñado en una aplicación de escritorio vulnerable .

La actualización también corrige una falla crítica del protocolo criptográfico que afecta a Windows Kerberos (CVE-2024-43639puntuación CVSS: 9,8) del que un atacante no autenticado podría abusar para realizar la ejecución remota de código.

La vulnerabilidad mejor calificada en el lanzamiento de este mes es una falla de ejecución remota de código en Azure CycleCloud (CVE-2024-43602puntuación CVSS: 9,9), que permite a un atacante con permisos de usuario básicos obtener privilegios de nivel raíz.

“La facilidad de explotación fue tan simple como enviar una solicitud a un clúster vulnerable de AzureCloud CycleCloud que modificaría su configuración”, dijo Narang. “A medida que las organizaciones continúan utilizando recursos en la nube, la superficie de ataque se amplía como resultado”.

Por último, un CVE no emitido por Microsoft solucionado por Redmond es una falla de ejecución remota de código en OpenSSL (CVE-2024-5535puntuación CVSS: 9,1). Fue originalmente parcheado por los mantenedores de OpenSSL en junio de 2024.

“La explotación de esta vulnerabilidad requiere que un atacante envíe un enlace malicioso a la víctima por correo electrónico, o que convenza al usuario de hacer clic en el enlace, normalmente mediante una incitación en un correo electrónico o mensaje de mensajería instantánea”, dijo Microsoft.

“En el peor de los casos, un atacante podría enviar un correo electrónico especialmente diseñado al usuario sin necesidad de que la víctima abra, lea o haga clic en el enlace. Esto podría resultar en que el atacante ejecute código remoto en la máquina de la víctima. “.

Coincidiendo con la actualización de seguridad de noviembre, Microsoft también anunció la adopción del Marco Asesor de Seguridad Común (CSAF), un estándar de OASIS para revelar vulnerabilidades en forma legible por máquina, para todos los CVE con el fin de acelerar los esfuerzos de respuesta y remediación.

Ciberseguridad

“Los archivos CSAF están destinados a ser consumidos por computadoras más que por humanos, por lo que estamos agregando archivos CSAF como una adición a nuestros canales de datos CVE existentes en lugar de reemplazarlos”, dijo la compañía. dicho. “Este es el comienzo de un viaje para continuar aumentando la transparencia en torno a nuestra cadena de suministro y las vulnerabilidades que abordamos y resolvemos en toda nuestra cadena de suministro, incluido el software de código abierto integrado en nuestros productos”.

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, que incluyen:

¿Encontró interesante este artículo? Síguenos en Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57