Una vulnerabilidad de seguridad de día cero de Windows explotada activamente está detrás de la actualización de seguridad del martes de parches de diciembre de 2024 de Microsoft, que no es un trineo de noticias festivas para los administradores de seguridad: un stock lleno de 71 correcciones.
El gigante tecnológico reveló CVE en Windows y componentes de Windows, Office y componentes de Office, SharePoint Server, Hyper-V, Defender for Endpoint y System Center Operations Manager.
La entrada en la temporada navideña de este año eleva el número total de parches para el año a 1.020, el segundo año con mayor volumen de parches en Redmond después de los 1.250 de 2020. En los CVE de este mes, 16 se consideran críticos.
Windows CLFS Zero-Day permite la escalada de privilegios
El error explotado activamente se rastrea como CVE-2024-49138 (CVSS 7.8), una falla de gravedad moderada en el controlador del Sistema de archivos de registro común (CLFS) de Windows.
«CLFS es un servicio de registro que admite operaciones en modo usuario y kernel», explicó Henry Smith, ingeniero principal de seguridad de Automox, en un análisis enviado por correo electrónico. «Si bien los detalles aún son limitados, la causa raíz probablemente esté relacionada con una validación de datos inadecuada… Los primeros indicadores sugieren que los atacantes podrían aprovechar este error utilizando las API de Windows para manipular archivos de registro o corromper datos de registro, desencadenando así la vulnerabilidad».
El impacto potencial es sustancial, añadió, dado que un exploit conduce a privilegios a nivel de SISTEMA en Windows Server. Junto con un error de ejecución remota de código (RCE), es una receta perfecta para apoderarse completamente de una PC.
Satnam Narang, ingeniero de investigación senior de Tenable, señaló por correo electrónico que los operadores de ransomware en particular han «desarrollado un inclinación por explotar las vulnerabilidades de escalada de privilegios de CLFS en los últimos años.»
Señaló que “a diferencia de los grupos de amenazas persistentes avanzadas (APT) que normalmente se centran en la precisión y la paciencia, operadores y afiliados de ransomware céntrese en tácticas de aplastar y agarrar por cualquier medio necesario. Al utilizar vulnerabilidades de escalada como esta en CLFS, los afiliados de ransomware pueden moverse a través de una red determinada para robar y cifrar datos y comenzar a extorsionar a sus víctimas. »
Vulnerabilidades críticas de ejecución remota de código en LDAP, Hyper-V y RDP
Gravedad crítica CVE-2024-49112 (CVSS 9.8) es quizás el CVE más preocupante en Misery Storage de este mes. Este es un problema de RCE no autenticado en el Protocolo ligero de acceso a directorios (LDAP) de Windows.
Según Dustin Childs de Zero Day Initiative (ZDI), los ciberatacantes pueden aprovechar el error para comprometer los controladores de dominio enviando un conjunto de llamadas LDAP especialmente diseñadas.
«La ejecución del código se produce en el nivel de servicio LDAP, que es elevado, pero no en el nivel del sistema», escribió Childs en un comunicado. Entrada de blog del 10 de diciembre. «Microsoft ofrece algunos consejos de mitigación interesantes. Recomiendan desconectar los controladores de dominio de Internet. Si bien esto detendría este ataque, no estoy seguro de que sea práctico para la mayoría de las empresas. Recomiendo probar e implementar el parche rápidamente».
Otra vulnerabilidad crítica de RCE para parchear rápidamente es CVE-2024-49117 (CVSS 8.8) en Windows Hyper-V. Un exploit permitiría a alguien en una máquina virtual (VM) invitada ejecutar código en el sistema operativo host subyacente o realizar un ataque entre VM.
«La buena noticia aquí es que el atacante debe estar autenticado», señaló Childs. «La mala noticia es que el atacante sólo necesita una autenticación básica, nada alta. Si está utilizando Hyper-V o tiene hosts en un servidor Hyper-V, definitivamente querrá que este parche se actualice lo antes posible».
Un total de nueve errores críticos afectan a los Servicios de Escritorio remoto de Windows, incluido uno (CVE-2024-49132CVSS 8.1) que habilita RCE mediante la explotación de una condición de memoria de uso después de liberación.
«El exploit requiere una sincronización precisa, lo que lo convierte en un ataque avanzado», dijo Ryan Braunstein, jefe de seguridad de Automox, por correo electrónico. «Específicamente, si un usuario inicia sesión a través de la función de puerta de enlace de escritorio remoto, un atacante podría desencadenar intencionalmente el escenario de uso después de la liberación. Explotada con éxito, esta vulnerabilidad puede permitir a los atacantes ejecutar su código de forma remota, controlando así el sistema».
Esto significa que la explotación es bastante difícil, pero Braunstein advirtió que «con el tiempo, es probable que los ciberatacantes desarrollen herramientas que simplifiquen el proceso de ataque». Hasta entonces, no existen soluciones alternativas efectivas, por lo que la aplicación inmediata de parches es la mejor oportunidad para mitigar este riesgo”.
También hay otras ocho vulnerabilidades críticas con una calificación de 8,1 en la escala CVSS en Servicios de Escritorio remoto, incluidos cinco errores UAF más (CVE-2024-49115, CVE-2024-49116, CVE-2024-49108, CVE-2024-49106Y CVE-2024-49128); CVE-2024-49123que implica almacenar datos confidenciales en una memoria mal bloqueada; CVE-2024-49120una falla de inicialización de variable predeterminada insegura; Y CVE-2024-49119resultante de una mala gestión de los recursos durante las sesiones del PDR.
«Estas vulnerabilidades resaltan Problemas persistentes en los componentes RDP.incluida la gestión de la memoria, la sincronización y la gestión operativa”, dijo Mike Walters, presidente y cofundador de Action1, por correo electrónico.[With] varias causas fundamentales, [it shows that] Los atacantes pueden explotar diferentes facetas de los servicios RDP. Las organizaciones deben evitar exponer los servicios RDP a Internet global e implementar controles de seguridad sólidos para mitigar los riesgos. Estos fallos demuestran una vez más los peligros de dejar RDP abierto y desprotegido. »
Otras vulnerabilidades de seguridad de diciembre de 2024 que se solucionarán ahora
Los expertos en seguridad también informaron sobre otros dos errores que los administradores de seguridad deberían agregar a sus listas de vacacionesincluida una vulnerabilidad EoP en el sistema de archivos resistente de Windows (ReFS).
Resilient File System (ReFS) es un sistema de archivos diseñado para mejorar la escalabilidad y la tolerancia a fallas para entornos de virtualización, bases de datos y copias de seguridad. Proporciona resiliencia de datos, eficiencia de almacenamiento y rendimiento mejorados.
«CVE-2024-49093 (CVSS 8.8) gira en torno a un cambio de alcance que permite a un atacante elevar los privilegios de un entorno de contenedor de aplicaciones con pocos privilegios», explicó Seth Hoyt, ingeniero principal de seguridad de Automox, por correo electrónico. «Normalmente, los contenedores de aplicaciones están diseñados para limitar el alcance. alcance de un proceso. capacidad de acceder a archivos, memoria y otros recursos. Explotar esta vulnerabilidad permite a los atacantes escapar de estas limitaciones y obtener un acceso más amplio a nivel del sistema. Esto significa que pueden interactuar con archivos, procesos y memoria que antes estaban fuera de su alcance. »
Desde allí, los ciberatacantes podrían moverse lateralmente por el entorno, añadió.
El último trozo de carbón reportado por los investigadores este mes es una vulnerabilidad RCE en Musik (CVE-2024-49063), un proyecto de investigación sobre música creado por IA.
«Nos preguntábamos cómo se verían los errores de IA y hasta ahora parecen vulnerabilidades de deserialización», dijo Childs de ZDI. «Eso es lo que tenemos aquí. Un atacante podría obtener la ejecución del código creando una carga útil que se ejecutará tras la deserialización. Genial».
