Check Point descubrió a principios de este mes una vulnerabilidad de ejecución remota de código, identificada como CVE-2024-38112, que afecta Usuarios de Microsoft Windows y diferentes versiones de Windows Server.
Los atacantes utilizaron archivos de acceso directo a Internet de Windows, que utilizan Internet Explorer retirado para visitar una URL con un nombre de extensión malicioso oculto y controlado por estos actores maliciosos. Dado que los usuarios abren esta URL con Internet Explorer y no con navegadores más seguros como Chrome o Edge, el actor de amenazas tiene más ventajas a la hora de explotar el dispositivo de la víctima.
Los actores maliciosos también utilizan un segundo método para «hacer creer a la víctima que está abriendo un archivo PDF, cuando en realidad está descargando y ejecutando un programa peligroso». .pregunta hta.» escribieron los investigadores de Check Point.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) agregó esta vulnerabilidad de alta gravedad a su Catálogo de vulnerabilidades conocidas y explotadas El catálogo, con una puntuación de 7,5 debido a la explotación activa, requería que todos los sistemas Windows de las agencias federales se actualizaran o cerraran antes del 30 de julio.
Otras investigaciones muestran que de los aproximadamente 500.000 puntos finales que ejecutan Windows 10 y 11, más del 10% de esos dispositivos carecen de controles de protección de puntos finales y casi el 9% carecen de controles de administración de parches, lo que significa que estas organizaciones tienen una cantidad significativa de puntos ciegos que los atacantes pueden explotar.
Aunque Microsoft lanzó un parche el 9 de julio, algunas vulnerabilidades de esta vulnerabilidad tienen más de un año, lo que significa que las organizaciones deben actuar rápidamente en sus esfuerzos de mitigación.
