Microsoft ha publicado correcciones que abordan un total de 89 nuevas vulnerabilidades y exposiciones comunes (CVE), 92 incluidas divulgaciones de terceros, para marcar el penúltimo martes de parches de 2024, incluidos cuatro problemas críticos y una serie de fallas que podrían considerarse de día cero. .
De estos problemas, uno cumple con la definición tradicional completa de día cero completo, una vulnerabilidad que es pública y se sabe que está explotada. Esta es CVE-2024-43451, una vulnerabilidad de suplantación de identidad en New Technology LAN Manager (NTLM) Hash.
NTLM es un conjunto de protocolos de seguridad que se utilizan para autenticar las identidades de los usuarios. Se remonta a años atrás y ha sido reemplazado en gran medida por protocolos mucho más seguros: Microsoft no ha recomendado su uso en más de una década, pero desde que se usó en Internet Explorer, sigue siendo compatible hasta cierto punto y continúa causando problemas, sobre todo porque en esta etapa, es increíblemente inseguro.
En este caso, la explotación exitosa de este problema podría conducir a una “pérdida total de confidencialidad”, según Microsoft, ya que revela el hash NTLMv2 de un usuario a un atacante que luego podría usarlo para autenticarse como usuario, si se puede engañar a la víctima. en una interacción mínima con un archivo malicioso, que podría incluir simplemente seleccionarlo o hacer clic en él, ni siquiera abrirlo. Esto puede hacerlo considerablemente más peligroso de lo que podría indicar su puntuación de gravedad comparativamente baja.
Mike Walters, presidente y cofundador de Action1, explicó: “Este problema surge del mecanismo por el cual las credenciales de autenticación NTLM, específicamente los hashes NTLMv2, se exponen incorrectamente a través de un archivo creado con fines malintencionados.
“La causa principal de esta vulnerabilidad radica en el manejo inadecuado de las interacciones de archivos dentro de los sistemas, lo que potencialmente permite a los atacantes extraer hashes NTLMv2 sin requerir la ejecución completa del archivo”, dijo a Computer Weekly en un comentario enviado por correo electrónico.
Todas las versiones compatibles de Microsoft Windows son vulnerables a este problema, dijo Walters, especialmente si usan aplicaciones que dependen de plataformas MSHTML y EdgeHTML, mientras que el riesgo aumenta aún más en diferentes entornos de sistemas gracias a la participación de otros motores de secuencias de comandos.
Walters dijo que la principal preocupación con CVE-2024-43451 es la divulgación de hashes NTLMv2 que pueden usarse para autenticarse como usuario y aprovecharse en ataques de paso de hash, lo que permite un mayor movimiento lateral para un astuto actor de amenazas.
“Esta vulnerabilidad es particularmente efectiva en escenarios de phishing, donde los usuarios pueden ser engañados para que interactúen con archivos maliciosos. Una vez que se obtienen los hashes NTLM, los atacantes pueden combinarlos con otras vulnerabilidades de la red para ampliar su acceso y comprometer sistemas adicionales”, dijo.
“Las organizaciones que utilizan mucho Windows en entornos con un importante intercambio de archivos de red o aplicaciones heredadas que dependen de Internet Explorer y plataformas relacionadas enfrentan un riesgo mayor. Aquellos que carecen de sistemas sólidos de capacitación y monitoreo de usuarios para detectar interacciones inusuales de archivos pueden ser más susceptibles a la explotación”.
También en la lista está CVE-2024-49309, que está explotado pero aún no es público. Esta es una vulnerabilidad de elevación de privilegios (EoP) en el Programador de tareas de Windows.
Esto se debe a un problema en el que los tokens de autenticación o las credenciales se administran incorrectamente y podrían permitir que un atacante con pocos privilegios obtenga un acceso más profundo si puede ejecutar una aplicación maliciosa diseñada para ese propósito. Afecta a múltiples versiones de Windows que incorporan el Programador de tareas como parte de sus procesos rutinarios de automatización de tareas, y se cree que los entornos con configuraciones compartidas o de múltiples usuarios pueden ser particularmente vulnerables.
“Esta vulnerabilidad sirve como un punto de entrada potencial para los atacantes que ya han accedido a un sistema con pocos privilegios. Una vez que se aumentan los privilegios, estos atacantes pueden utilizar este punto de apoyo para un mayor movimiento lateral dentro de una red o para explotar otras vulnerabilidades que requieren niveles de acceso más altos”, dijo Walters.
“La naturaleza de esta vulnerabilidad es especialmente preocupante en entornos corporativos donde los usuarios individuales poseen privilegios específicos de automatización de tareas que podrían explotarse para obtener acceso no autorizado”.
Aún no explotado
Se han hecho públicas cuatro vulnerabilidades más, pero hasta el momento no se han explotado, según Microsoft, y una de ellas, CVE-2024-5535, un problema de ejecución remota de código en OpenSSL, se encuentra entre las tres divulgaciones de terceros incorporadas en este caída del mes.
Las otras tres son CVE-2024-43498, una vulnerabilidad de ejecución remota de código (RCE) en .NET y Visual Studio, CVE-2024-49019, una vulnerabilidad EoP en Active Directory Certificate Services y CVE-2024-49040, una vulnerabilidad de suplantación de identidad. en Microsoft Exchange Server.
Chris Goettl, vicepresidente de productos de seguridad de Ivanti, compartió más ideas sobre los problemas de Active Directory y Microsoft Exchange Server e instó a los defensores a tratarlos como prioridades más altas de lo que podría implicar la guía oficial.
“[CVE-2024-49019] … está clasificado como Importante y tiene una puntuación CVSS v3.1 de 7,8…. Si se explota, el atacante podría obtener privilegios de administrador de dominio. La vulnerabilidad proporciona mitigaciones adicionales, incluida la eliminación de permisos de inscripción o inscripción automática demasiado amplios, la eliminación de plantillas no utilizadas de las autoridades de certificación y la protección de plantillas que le permiten especificar el asunto en la solicitud”, dijo Goettl.
“La vulnerabilidad afecta a Windows Server 2008 y ediciones posteriores del sistema operativo de servidor. Desde una perspectiva basada en el riesgo, una divulgación pública pone esta vulnerabilidad en mayor riesgo de ser explotada y puede justificar tratar la vulnerabilidad como de mayor gravedad”.
Goettl continuó: “[CVE-2024-49040] está clasificado como Importante y tiene una puntuación CVSS v3.1 de 7,5…. La vulnerabilidad existe en la verificación del encabezado P2 From. Microsoft Exchange Server suele ser el objetivo de actores de amenazas que se especializan en exploits de Exchange. Desde una perspectiva de priorización basada en riesgos, la divulgación pública y la disponibilidad del código de explotación a nivel de PoC justifica tratar esta vulnerabilidad como crítica”.
Finalmente, se enumeran otros tres problemas críticos: CVE-2024-43625, una vulnerabilidad EoP en Microsoft Windows VMSwitch; CVE-2024-43639, una vulnerabilidad RCE en Windows Kerberos; y CVE-2024-49056, una vulnerabilidad EoP en Airlift.microsoft.com. En cada uno de estos casos, aún no se ha hecho pública ninguna prueba de concepto y no se ha observado explotación en la naturaleza.