Llegó el lanzamiento del martes de parches de octubre de Microsoft, que aborda un total de cinco vulnerabilidades de día cero divulgadas públicamente (dos de ellas explotadas en la naturaleza y otros tres problemas críticos que requieren atención) en una actualización relativamente grande.
Aunque son moderados en su gravedad, con puntuaciones CVSS de 7,8 y 6,5 respectivamente, los dos días cero explotados deberían ser una prioridad para los equipos de seguridad este mes, uno de ellos es una vulnerabilidad de ejecución remota de código en Microsoft Management Console (CVE-2024-43572). y el otro, una vulnerabilidad de suplantación de identidad en la plataforma MSHTLM de Windows: CVE-2024-45373.
“¡Octubre es el Mes de la Concientización sobre la Seguridad Cibernética! Qué mejor manera de estar al tanto de lo cibernético que leer sobre las últimas actualizaciones de seguridad que llegan al mercado”, dijo Chris Goettl, vicepresidente de productos de seguridad de Ivanti.
“Microsoft resolvió 117 nuevos CVE este mes, tres de los cuales están calificados como críticos por Microsoft. La lista de este mes tiene dos exploits de día cero que también se han divulgado públicamente, lo que los pone en riesgo de una explotación más generalizada. Ambas vulnerabilidades de día cero se resuelven con la actualización del sistema operativo Windows de este mes, lo que convierte a su principal prioridad en reducir el riesgo rápidamente”.
De estos dos, el problema de Microsoft Management Console debe abordarse con urgencia, explicó el director senior de investigación de amenazas de Immersive Labs, Kev Breen.
“Si bien las notas dicen que la ejecución remota de código, esta vulnerabilidad requiere la interacción del usuario y cierto grado de ingeniería social”, dijo. “Para explotar esta vulnerabilidad, un atacante debe crear un archivo .msc malicioso que, si se abre, ejecutará código o comandos arbitrarios que permitan a un actor de amenazas comprometer el host.
“Este archivo normalmente se envía por correo electrónico como un archivo adjunto o como un enlace para una descarga”, dijo Breen. “Después de aplicar el parche, los equipos de seguridad y los cazadores de amenazas deben verificar de manera proactiva los registros históricos para detectar indicadores del envío y recepción de estos archivos”.
Monitoreo y bloqueo
Breen agregó que aquellos que no puedan implementar el parche de inmediato deberían considerar agregar reglas adicionales de monitoreo y bloqueo dirigidas a archivos .msc; la solución implementada también evita que se ejecuten en el sistema.
Mientras tanto, el colega de Breen, Nikolas Cemerikic, ingeniero de seguridad cibernética de Immersive Labs, ejecutó la regla sobre CVE-2024-45373. Dijo: “La vulnerabilidad permite a un atacante engañar a los usuarios para que vean contenido web malicioso, que podría parecer legítimo debido a la forma en que la plataforma maneja ciertos elementos web.
“Una vez que se engaña a un usuario para que interactúe con este contenido, generalmente mediante ataques de phishing, el atacante puede potencialmente obtener acceso no autorizado a información confidencial o manipular servicios basados en la web. Es importante destacar que este ataque no requiere permisos especiales ni conocimiento del sistema del usuario, lo que hace que sea relativamente fácil de ejecutar para los ciberdelincuentes”.
Aunque se considera de menor gravedad, ya está siendo explotado, lo que lo convierte en una seria preocupación para las grandes organizaciones, particularmente aquellas que ejecutan muchas aplicaciones web heredadas (la plataforma MSHTML es la base del ahora retirado Internet Explorer, por ejemplo), que todavía se usa ampliamente. por razones de compatibilidad.
Esto, dijo Cemerikic, crea un riesgo para los empleados que utilizan sistemas más antiguos en su trabajo diario, “especialmente si acceden a datos confidenciales o realizan transacciones financieras en línea”.
Acurrucarse y morir
Los otros tres errores divulgados públicamente comprenden CVE-2024-6197, un problema de RCE en Open Source Curl, CVE-2024-20659, un problema de omisión de características de seguridad en Windows Hyper-V, y CVE-2024-43583, una vulnerabilidad de elevación de privilegios. en Winlogon. Los tres tienen puntuaciones CVSS de entre siete y ocho, pero aún no se sabe que ninguno haya sido explotado.
El primero de ellos, que afecta a la biblioteca Curl de código abierto ampliamente utilizada, surge de un problema que surge cuando la memoria no asignada en el montón se libera incorrectamente, lo que lleva a un comportamiento extraño que puede explotarse para ejecutar código, explicó Mike Walters, presidente y cofundador de Acción1.
Walters dijo que esto era particularmente preocupante ya que afecta la arquitectura fundamental de gestión de memoria en Curl, que es integral para las transferencias de datos en múltiples protocolos de red. Si bien Windows no suele incluir la biblioteca Curl, sí incluye su herramienta de línea de comandos, de ahí la alerta.
“Las posibles consecuencias de explotar esta vulnerabilidad incluyen la ejecución de código remoto en el sistema cliente por parte de un atacante; Los sistemas comprometidos se convierten en puertas de enlace para la exfiltración de datos o una mayor infiltración en la red. [and] control total sobre el cliente afectado, lo que podría conducir a una distribución generalizada de malware o un uso indebido”, afirmó Walters.
“Los atacantes podrían utilizar esta vulnerabilidad para realizar acciones de intermediario [MitM] ataques redirigiendo las solicitudes de los clientes a servidores maliciosos. Si se combina con vulnerabilidades que permiten el movimiento lateral de la red, esto podría mejorar significativamente la capacidad de un atacante para infiltrarse y controlar grandes porciones de la red de una empresa.
“Dada la prevalencia de Curl en sistemas propietarios y de código abierto, su huella es enorme”, afirmó.
Mientras tanto, la falla de Winlogon EoP surge del manejo inadecuado de los procesos durante la fase de inicio de sesión del sistema y se ve facilitada por debilidades subyacentes en la forma en que Winlogon interactúa con los editores de métodos de entrada (IME), especialmente los de terceros.
“Esta vulnerabilidad podría usarse en un ataque de varios pasos, donde el acceso inicial podría obtenerse a través de otro exploit local o tácticas de ingeniería social”, dijo Walters. “Una vez que los atacantes remotos obtengan acceso local, aprovechar esta vulnerabilidad EoP podría permitir una penetración más profunda en entornos seguros.
“Las organizaciones que utilizan sistemas Windows corren un riesgo significativo, especialmente aquellas que utilizan IME de terceros con fines lingüísticos o regionales. Esta vulnerabilidad es particularmente pertinente en entornos diversos donde el apoyo multilingüe es crucial, como en empresas globales o instituciones educativas”, añadió.
En cuanto a la tercera vulnerabilidad, Hyper-V, la buena noticia es que puede tener un impacto algo menor, aunque esto no la hace de ninguna manera menos digna de atención, como explicó Tyler Reguly, director asociado de investigación y desarrollo de seguridad de Fortra.
“Afortunadamente… hay una serie de criterios que hacen que sea menos probable que veamos explotada esta vulnerabilidad”, dijo Reguly.
“Microsoft indica que solo cierto hardware se ve afectado, lo que podría permitir eludir UEFI y comprometer el hipervisor, esto requeriría que primero se reinicie el sistema y que el atacante tenga acceso a la red local, como ha marcado Microsoft. el vector de ataque en la puntuación CVSS con el valor adyacente rara vez visto, lo que significa que el ataque debe originarse desde la misma red física o lógica”.