Los equipos de seguridad tendrán unos días muy ocupados por delante después de que Microsoft parcheara cerca de 140 nuevas vulnerabilidades y exposiciones comunes (CVE) en su actualización del martes de parches de julio, incluidos cuatro exploits de día cero, uno de ellos una actualización de terceros a través del gigante de procesadores. BRAZO.
Los cuatro días cero se enumeran, en orden numérico, de la siguiente manera:
- CVE-2024-35264, una vulnerabilidad de ejecución remota de código (RCE) en .NET y Visual Studio. Esta vulnerabilidad tiene una puntuación CVSS de 8,1, pero, por el contrario, aunque circula un exploit de prueba de concepto, todavía no parece haber sido aprovechado;
- CVE-2024-37895, una vulnerabilidad de divulgación de información que afecta a ARM. Este error tiene una puntuación CVSS de 5,9, pero, aunque se ha hecho público, todavía no se está explotando;
- CVE-2024-38080, una falla de elevación de privilegios (EoP) en Windows Hyper-V. Esta vulnerabilidad tiene una puntuación CVSS de 7,8 y se sabe que ha sido explotada en estado salvaje, aunque no se ha publicado ninguna explotación pública;
- CVE-2024-38112, una vulnerabilidad de suplantación de identidad en la plataforma MSHTML de Windows. Esta vulnerabilidad tiene una puntuación CVSS de 7,5. No hay ningún exploit público disponible, pero está siendo utilizado por adversarios aún desconocidos.
Mike Walters, del especialista en administración de parches Action1, se centró en la falla de Hyper-V y dijo que representaba un “riesgo significativo” para los sistemas que utilizan Hyper-V: parece relativamente simple de explotar, ya que un atacante puede obtener derechos de administrador con facilidad si lo logra. han obtenido acceso local inicial a través de, por ejemplo, una cuenta de usuario comprometida dentro de una máquina virtual. En última instancia, aprovecha un problema de desbordamiento de enteros dentro de Hyper-V.
“CVE-2024-38080… destaca una vía clara para que los atacantes obtengan privilegios elevados, poniendo en peligro la confidencialidad, integridad y disponibilidad de múltiples sistemas virtualizados”, dijo Walters.
“Cuando se combina con otras vulnerabilidades, como fallos de ejecución remota de código o exploits de acceso inicial como phishing o kits de exploits, el vector de ataque se vuelve más sofisticado y dañino.
“Adoptar un enfoque de seguridad proactivo, que incluya parches oportunos y un estricto cumplimiento de prácticas de seguridad sólidas, es crucial para mitigar estos riesgos de manera efectiva”, añadió.
Saeed Abbasi, gerente de producto de vulnerabilidad en la Unidad de Investigación de Amenazas (TRU) de Qualys agregó: “El impacto es enorme ya que esta vulnerabilidad podría otorgar a los atacantes el nivel más alto de acceso al sistema que podría permitir la implementación de ransomware y otros ataques maliciosos.
“Si bien Microsoft no ha revelado el alcance de la explotación activa, la naturaleza de la vulnerabilidad la convierte en un objetivo principal para los atacantes. Debido a su potencial para un control profundo del sistema, esta vulnerabilidad está preparada para mayores intentos de explotación. La combinación de baja complejidad y ningún requisito de interacción del usuario significa que es probable que se incorpore rápidamente a los kits de explotación, lo que conducirá a una explotación generalizada.
Abbasi agregó: “Además, la capacidad de escalar privilegios hace que esta vulnerabilidad sea particularmente perjudicial para los ataques de ransomware, ya que permite a los atacantes desactivar las medidas de seguridad y propagarse de manera más efectiva a través de las redes, amplificando así significativamente el impacto de dichos ataques”.
Mientras tanto, Rob Reeves, ingeniero principal de seguridad cibernética de Immersive Labs, ejecutó la regla en la vulnerabilidad de la plataforma Windows MSHTLM. “Los detalles de Microsoft son escasos y sólo se describen como una vulnerabilidad de ‘suplantación de identidad’, que requiere ingeniería social para convencer a un usuario de que ejecute un archivo entregado”, dijo.
“Se considera que la vulnerabilidad probablemente podría conducir a la ejecución remota del Código, debido a su vinculación con CWE-668: Exposición de recursos a una esfera incorrecta y, en caso de explotación exitosa, conduce a un compromiso total de la confidencialidad, integridad y disponibilidad. La puntuación CVSS de sólo 7,5, debido a la dificultad de explotación, posiblemente se deba únicamente a la complejidad del ataque en sí.
Reeves dijo que sin más detalles de Microsoft o del reportero original, un investigador de Check Point, era difícil brindar orientación específica sobre los próximos pasos, pero dado que afecta a todos los hosts de Windows Server 2008 R2 y posteriores, incluidos los clientes, y está viendo explotación activa, se debe priorizar su parcheo sin demora.
Además de los días cero, la actualización de julio de 2024 también enumera cinco fallas críticas, todas vulnerabilidades RCE, con puntuaciones CVSS de 7,2 a 9,8. Tres de ellos se relacionan con el servicio de licencias de escritorio remoto de Windows, uno con la biblioteca de códecs de Microsoft Windows y el quinto con Microsoft SharePoint Server.
Cuidado con los jugadores
Finalmente, otra vulnerabilidad RCE en el adaptador inalámbrico Xbox también ha llamado la atención, lo que demuestra acertadamente la importancia de proteger los dispositivos y redes de los consumidores, que puede ser un elemento tan útil de la cadena de ataque de un actor de amenazas como cualquier vulnerabilidad de servidor en la nube que afecte a una empresa.
Registrada como CVE-2024-38078, la falla se vuelve explotable si un atacante está muy cerca físicamente del sistema objetivo y ha recopilado información específica sobre el entorno objetivo.
Aunque esta complejidad hace que sea menos probable que sea explotado, si sucediera, un atacante podría enviar un paquete de red malicioso a un sistema adyacente que utilice el adaptador y desde allí lograr RCE.
“En una configuración de trabajo desde casa, es esencial proteger todos los dispositivos, incluidos los dispositivos de IoT como sistemas de alarma y televisores inteligentes. Los atacantes pueden aprovechar esta vulnerabilidad para obtener acceso no autorizado y comprometer información confidencial. La distancia a la que se pueden detectar, interceptar y transmitir las señales Wi-Fi suele subestimarse, lo que aumenta aún más el riesgo de esta vulnerabilidad”, afirmó Ryan Braunstein, líder del equipo de operaciones de seguridad de Automox.
“Para mitigar estas amenazas, aplique actualizaciones periódicas a todos los dispositivos y adopte medidas sólidas de seguridad de red, como contraseñas y cifrado sólidos.
“Educar a todos los empleados, amigos y familiares sobre la importancia de mantener los dispositivos parcheados y actualizados puede no hacerte popular en las fiestas, pero definitivamente puede reducir las llamadas telefónicas a las 2 de la madrugada”, añadió Braunstein.