Microsoft ha publicado correcciones para 71 nuevas vulnerabilidades y exposiciones comunes (CVE) para marcar el último martes de parches de 2025, con un único día cero que permite la elevación de privilegios a través del controlador del sistema de archivos de registro común de Windows que se roba la atención.
Con la designación asignada CVE-2024-49138 y acreditada al equipo de investigación avanzada de CrowdStrike, la falla se debe a un desbordamiento del búfer basado en el montón en el que la verificación inadecuada de los límites permite a un atacante sobrescribir la memoria en el montón.
Se considera relativamente trivial de explotar por parte de un atacante que ejecuta código arbitrario y obtiene privilegios a nivel de sistema que podrían usarse para ejecutar ataques más profundos e impactantes, como el ransomware. Microsoft dijo que había observado que CVE-2024-49138 estaba siendo explotado en estado salvaje.
“El controlador CLFS es un componente central de Windows utilizado por las aplicaciones para escribir registros de transacciones”, explicó Mike Walters, presidente y cofundador del especialista en gestión de parches Action1.
“Esta vulnerabilidad permite la elevación de privilegios no autorizados mediante la manipulación de la gestión de la memoria del controlador, lo que culmina en el acceso a nivel del sistema, el privilegio más alto en Windows. Los atacantes que obtienen privilegios del sistema pueden realizar acciones como deshabilitar protecciones de seguridad, filtrar datos confidenciales o instalar puertas traseras persistentes”, dijo.
Walters explicó que cualquier sistema Windows que se remonta a 2008 y que utiliza el componente CLFS estándar es vulnerable a esta falla, lo que la convierte en un posible dolor de cabeza en entornos empresariales si no se soluciona rápidamente.
“Se confirma que la vulnerabilidad ha sido explotada en estado salvaje y cierta información sobre la vulnerabilidad se ha divulgado públicamente, pero esa divulgación puede no incluir muestras de código”, dijo el vicepresidente de productos de seguridad de Ivanti, Chris Goettl.
“El CVE está clasificado como Importante por Microsoft y tiene una puntuación CVSSv3.1 de 7,8. La priorización basada en riesgos calificaría esta vulnerabilidad como crítica, lo que hace que la actualización del sistema operativo Windows de este mes sea su máxima prioridad”.
Problemas críticos
En un año en el que Microsoft impulsó más de 1000 correcciones de errores en 12 meses, el segundo volumen más alto después de 2020, como observó Dustin Childs de Zero Day Initiative, diciembre de 2024 se destacará por un volumen notablemente alto de vulnerabilidades críticas, 16 en total. y todos, sin excepción, conducen a la ejecución remota de código (RCE).
Un total de nueve de estas vulnerabilidades afectan a los Servicios de Escritorio remoto de Windows, mientras que tres se encuentran en el Protocolo ligero de acceso a directorios (LDAP) de Windows, dos en Windows Message Queue Server (MSMQ) y una cada una en el Servicio del subsistema de autoridad de seguridad local de Windows (LSASS). ) y Windows Hyper-V.
De estos, es CVE-2024-49112 en Windows LDAP el que probablemente merece la mayor atención, con una puntuación CVSS extrema de 9,8 y afectando a todas las versiones de Windows desde Windows 7 y Server 2008 R2. Si no se aborda, permite que un atacante no autenticado logre RCE en el servidor subyacente.
LDAP se ve comúnmente en servidores que actúan como controladores de dominio en una red Windows y la característica debe estar expuesta a otros servidores y clientes en un entorno para que el dominio funcione.
El ingeniero de seguridad principal de Immersive Labs, Rob Reeves, explicó: “Microsoft… ha indicado que la complejidad del ataque es baja y no se requiere autenticación. Además, aconsejan que se detenga inmediatamente la exposición de este servicio, ya sea a través de Internet o a redes no confiables.
“Un atacante puede realizar una serie de llamadas manipuladas al servicio LDAP y obtener acceso dentro del contexto de ese servicio, que se ejecutará con privilegios del sistema”, dijo Reeves.
“Debido al estado del controlador de dominio de la cuenta de la máquina, se considera que esto permitirá instantáneamente al atacante… obtener acceso a todos los hashes de credenciales dentro del dominio. También se evalúa que un atacante sólo necesitará obtener acceso con privilegios bajos a un host de Windows dentro de un dominio o un punto de apoyo dentro de la red para poder explotar este servicio, obteniendo un control total sobre el dominio”.
Reeves dijo a Computer Weekly que los actores de amenazas, en particular las bandas de ransomware, intentarán con entusiasmo desarrollar exploits para esta falla en los próximos días porque tomar el control completo de un controlador de dominio en un entorno de Active Directory puede brindarles acceso a todas las máquinas con Windows en ese dominio. .
“Los entornos que utilizan redes Windows que utilizan controladores de dominio deben parchear esta vulnerabilidad con urgencia y garantizar que los controladores de dominio sean monitoreados activamente para detectar signos de explotación”, advirtió.
Y finalmente
Finalmente, este mes se destaca un error poco considerado, una falla en Microsoft Muzic, rastreada como CVE-2024-49063.
“El proyecto de inteligencia artificial de Microsoft Muzic es interesante”, observó Goettl de Ivanti. “CVE-2024-49063 es una vulnerabilidad de ejecución remota de código en Microsoft Muzic. Para resolver esto, los desarrolladores de CVE tendrían que tomar la última versión de GitHub para actualizar su implementación”.
La vulnerabilidad surge de la deserialización de datos que no son de confianza, lo que lleva a la ejecución remota de código si un atacante puede crear una carga útil maliciosa para ejecutar.
Para aquellos que no están familiarizados con el proyecto, Microsoft Muzic es un proyecto de investigación en curso que busca comprender y generar música utilizando inteligencia artificial (IA). Algunas de las características del proyecto incluyen transcripción automática de letras, escritura de canciones y generación de letras, generación de acompañamiento y síntesis de voz cantada.