Los atacantes ya están explotando activamente dos vulnerabilidades para las cuales Microsoft lanzó parches el 12 de noviembre como parte de su actualización de seguridad mensual. Y pronto podrían comenzar a atacar otras dos vulnerabilidades reveladas públicamente, pero aún sin explotar.
Los cuatro errores de día cero son parte de un conjunto de 89 vulnerabilidades y exposiciones comunes (CVE) que Microsoft solucionó en el martes de parches de noviembre. El lote contiene un porcentaje significativamente alto de vulnerabilidades de ejecución remota de código (RCE), además del conjunto habitual de escalada de privilegios, suplantación de identidad, elusión de seguridad, problemas de denegación de servicio y otras clases de vulnerabilidades. Microsoft identificó ocho de estos fallos como problemas que es más probable que los atacantes aprovechen, aunque los investigadores también destacaron otros fallos que pueden ser de gran interés para los adversarios.
Microsoft adopta el estándar CSAF
Con el Actualización de seguridad de noviembre, Microsoft también anuncio su adopción de Marco común de asesoramiento sobre seguridad (CSAF), un estándar de OASIS para revelar vulnerabilidades en formato legible por máquina. “Los archivos CSAF están destinados más al consumo de computadoras que de humanos”, dijo Microsoft en una publicación de blog. Esto debería ayudar a las organizaciones a acelerar sus procesos de respuesta y remediación de vulnerabilidades, señaló la compañía.
“Es un gran victoria para la comunidad de seguridad y una adición bienvenida a las páginas de seguridad de Microsoft”, dijo por correo electrónico Tyler Reguly, director asociado de I+D de seguridad de Fortra. “Este es un estándar que han adoptado muchas empresas de software y es fantástico ver que Microsoft sigue su ejemplo. “
Errores de día cero bajo explotación activa
Uno de los errores de día cero que los atacantes ya están explotando activamente es CVE-2024-43451 (CVSS 6,5 sobre 10), defecto que filtra el hash NTLMv2 de un usuario para validar credenciales en entornos Windows. Los hashes permiten a los atacantes autenticarse como usuarios legítimos y acceder a aplicaciones y datos para los que tienen permisos. La vulnerabilidad afecta a todas las versiones de Windows y requiere una mínima interacción del usuario para explotarla. Simplemente seleccionar o inspeccionar un archivo podría desencadenar la vulnerabilidad, advirtió Microsoft.
____________________________
No te pierdas el próximo gratis Evento virtual de lectura oscura“Conozca a su enemigo: comprenda a los ciberdelincuentes y los actores estatales de amenazas”, 14 de noviembre a las 11 a. m., hora del Este. No te pierdas las sesiones sobre cómo entender MITRE ATT&CK, cómo utilizar la seguridad proactiva como arma y una clase magistral sobre respuesta a incidentes; y una gran cantidad de oradores de primer nivel como Larry Larsen de Navy Credit Federal Union, el ex analista de Kaspersky Lab Costin Raiu, Ben Read de Mandiant Intelligence, Rob Lee de SANS y Elvia Finalle de Omdia. Regístrate ahora!
____________________________
“Hasta donde yo sé, esta es la tercera vulnerabilidad de este tipo que podría filtrar el hash NTLMv2 de un usuario que ha sido explotado en estado salvaje en 2024”, escribió Satnam Narang, ingeniero principal de Tenable, en un comentario enviado por correo electrónico. Los otros dos son CVE-2024-21410 en Microsoft Exchange Server a partir de febrero, y CVE-2024-38021 en Microsoft Office a partir de julio.
“Una cosa es segura”, según Narang. “Los atacantes continúan trabajando para descubrir y explotar vulnerabilidades de día cero que podrían filtrar hashes NTLMv2”.
El segundo error explotado activamente en la última actualización de Microsoft es CVE-2024-49039 (CVSS 8.8), un error de elevación de privilegios del Programador de tareas de Windows que permite a un atacante ejecutar llamadas a procedimientos remotos (RPC) que normalmente solo están disponibles para cuentas privilegiadas.
“En este caso, un ataque exitoso podría llevarse a cabo desde un acceso con bajos privilegios. Contenedor de aplicaciones“, dijo Microsoft. “El atacante podría elevar los privilegios y ejecutar código o acceder a recursos en un nivel de integridad más alto que el entorno de ejecución de AppContainer”.
El hecho de que fue el grupo de análisis de amenazas de Google el que descubrió e informó esta falla a Microsoft sugiere que los atacantes que actualmente la explotan son un grupo respaldado por un estado-nación u otro actor de amenazas persistente, dijo Narang.
“Un atacante puede realizar este exploit como un AppContainer con pocos privilegios y ejecutar eficazmente RPC que sólo deberían estar disponibles para tareas privilegiadas”, añadió Ben McCarthy, ingeniero jefe de ciberseguridad de Immersive Labs, por correo electrónico. “No está claro qué RPC se ven afectados aquí, pero esto podría darle a un atacante acceso para elevar sus privilegios y ejecutar código en una máquina remota, así como en la máquina en la que ejecuta la vulnerabilidad”.
Zero-Days previamente filtrados pero sin explotar
Uno de los dos días cero ya revelados, pero aún no explotados, es CVE-2024-49019 (CVSS 7.8), una vulnerabilidad de elevación de privilegios en los Servicios de certificados de Active Directory que los atacantes podrían utilizar para obtener acceso de administrador de dominio. El aviso de Microsoft enumera varias recomendaciones para que las organizaciones protejan las plantillas de certificados, incluida la eliminación de derechos de inscripción demasiado amplios para usuarios o grupos, la eliminación de plantillas no utilizadas y la implementación de medidas adicionales para proteger las plantillas que permiten a los usuarios especificar un asunto en la solicitud.
Microsoft está rastreando el otro defecto divulgado públicamente pero no explotado. CVE-2024-49040 (CVSS 7.5), una vulnerabilidad de suplantación de Windows Exchange Server. “El principal problema radica en la forma en que Exchange procesa… los encabezados, lo que permite a los atacantes crear correos electrónicos que parecen provenir falsamente de fuentes legítimas”, escribió Mike Walters, presidente y cofundador de Action1, en un comunicado de prensa. publicación de blog. “Esta característica es particularmente útil para el phishing y otras formas de engaño por correo electrónico”.
Los errores de seguridad de RCE tienen un gran mes
Casi el 60% de los errores (52 de 89) revelados por Microsoft en su actualización de noviembre son vulnerabilidades RCE que permiten a atacantes remotos ejecutar código arbitrario en sistemas vulnerables. Algunos permiten RCE no autenticado, mientras que otros requieren que un atacante tenga acceso autenticado para explotar el error. La mayoría de los RCE de la última actualización de Microsoft afectan a diferentes versiones de MS SQL Server. Otras tecnologías afectadas incluyen MS Office 2016, MS Defender para iOS, MS Excel 2016 y Windows Server 2012, 2022 y 2025, dijo Will Bradle, consultor de seguridad de NetSPI, en un comunicado enviado por correo electrónico.
Entre los RCE más críticos, según Walters, se encuentran CVE-2024-43639 en Windows Kerberos. El error tiene una puntuación de gravedad CVSS casi máxima de 9,8 sobre 10 porque, entre otras cosas, un atacante no autenticado puede explotarlo de forma remota. El propio Microsoft ha calificado el error como algo que es menos probable que los atacantes exploten. Pero dejarlo en un segundo plano por este motivo podría ser un error.
“Kerberos es un componente fundamental de los entornos Windows, crucial para autenticar las identidades de usuarios y servicios”, añadió Walters. “Esta vulnerabilidad convierte a Kerberos en un objetivo de alto valor, lo que permite a los atacantes explotar la falla de truncamiento para crear mensajes que Kerberos no puede procesar de forma segura, lo que potencialmente permite la ejecución de código arbitrario”.
Bradle señaló CVE-2024-49050 en Visual Studio Code Python Extension como otro RCE del conjunto de este mes que merece atención prioritaria. “La extensión tiene actualmente más de 139 millones de descargas y está afectada por una vulnerabilidad RCE con una puntuación CVSS base de 8,8”, dijo. “Microsoft ha solucionado la extensión VSCode y las actualizaciones deberían instalarse inmediatamente”.
McCarthy de Immersive Labs también identificó otras fallas que las organizaciones harían bien en abordar rápidamente. Incluyen críticas CVE-2024-43498 (CVSS 9.8), un RCE en .NET y Visual Studio; CVE-2024-49019 (CVSS 7.8), una vulnerabilidad de escalada de privilegios de Active Directory; CVE-2024-49033 (CVSS 7.5)una falla de omisión de seguridad de Microsoft Word; Y CVE-2024-43623 (CVSS 7.8), una vulnerabilidad de elevación de privilegios en el kernel del sistema operativo Windows NT que permite a un atacante obtener acceso a nivel de sistema a los sistemas afectados. Es importante destacar que Microsoft ha calificado esta última vulnerabilidad como una que los atacantes tienen más probabilidades de explotar.