Perspectiva de Akamai sobre el Patch Tuesday de julio de 2024
Muchos países conmemoran su Día de la Independencia en julio, y ¿qué mejor manera de celebrarlo que con una explosión de CVE? Se han aplicado parches para 137 vulnerabilidades en el Patch Tuesday de julio de 2024, con cinco vulnerabilidades críticas en el servidor de Microsoft SharePoint, el servicio de licencias del escritorio remoto de Windows y la biblioteca de códecs de Windows.
Además, existe una vulnerabilidad de escalada de privilegios (EoP) en Hyper-V de Windows, y se informó de que se detectó una vulnerabilidad de suplantación en la plataforma MSHTML de Windows en el mundo real, y hay un parche para una vulnerabilidad en Temas de Windows según el investigador de Akamai Tomer Peled.
Como cada mes, el grupo de inteligencia sobre seguridad de Akamai ha analizado las vulnerabilidades más intrigantes a las que se han aplicado parches.
En esta publicación de blog, analizaremos la importancia de las vulnerabilidades y cómo de comunes son las aplicaciones y los servicios afectados para ofrecer una visión realista de los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe continuo y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
Este mes, nos centramos en las áreas en las que se han aplicado parches a los errores:
Vulnerabilidades detectadas en el mundo real
CVE-2024-38080 — Hyper-V de Windows (CVSS 7.8)
Hyper-V de Windows es el hipervisor nativo de Windows. Permite el alojamiento de máquinas virtuales (invitados) en una sola máquina host. La virtualización es muy común en las redes empresariales, ya que permite ahorrar en costes de hardware.
Según nuestras observaciones, el 84 % de los entornos tenían equipos con Hyper-V habilitado (hosts).
CVE-2024-38080 es una vulnerabilidad local de EoP que permite a los atacantes obtener privilegios del SISTEMA tras llevar a cabo un ataque con éxito. Actualmente no está claro si la vulnerabilidad existe en los equipos host o en los equipos invitados, y cómo se aprovecha. Microsoft ha indicado que se ha detectado que esta vulnerabilidad se ha aprovechado con éxito en el mundo real.
Detección
Para detectar hosts Hyper-V, puede utilizar la siguiente osquery:
SELECT
name, statename
FROM
windows_optional_features
WHERE
name LIKE 'Microsoft-Hyper-V%'
AND state = 1
Los clientes de Akamai Guardicore Segmentation pueden utilizar la función Insight para ejecutar esta consulta.
CVE-2024-38112 — Plataforma MSHTML de Windows (CVSS 7.5)
MSHTML es un cargador de sitios web para el sistema operativo Windows. Este expone una interfaz de Modelo de objetos componentes (COM) que permite que los programas añadan funciones de carga web. Se utiliza en Internet Explorer, el modo de Internet Explorer de Microsoft Edge, Microsoft Outlook y otros programas.
En el pasado se han detectado varias vulnerabilidades en la plataforma MSHTML (incluidas algunas que han detectado los investigadores de Akamai) y es un objetivo de explotación atractivo para los atacantes debido a su capacidad para eludir los mecanismos de defensa y al hecho de que es una función integrada en Windows.
Para obtener un análisis técnico de la CVE, puede obtener más información de Haifei Li en su publicación de blog DLL proxying de itm4n’s.
Vulnerabilidades detectadas por los investigadores de Akamai
CVE-2024-38030 — Temas de Windows (CVSS 6.5)
Temas de Microsoft es una característica de Windows que permite al usuario cambiar la forma en que se muestran los iconos o las fuentes, entre otros posibles elementos. Es una parte integrada de Windows.
El investigador de Akamai Tomer Peled dio con CVE-2024-38030, que se clasifica como una vulnerabilidad de suplantación con una puntuación del CVSS de 6,5. La explotación satisfactoria de esta vulnerabilidad omite el parche para la CVE-2024-21320, que también detectó Peled.
El parche para la CVE-2024-21320 ha introducido la función PathIsUNC para comprobar si una ruta determinada en un archivo de tema es una ruta UNC. Desafortunadamente para Microsoft, James Forshaw ya debatió una forma de omitir esta función. Creemos que esta podría ser la primera vez que esta omisión se utiliza para explotar las funciones de Windows.
Servicio de licencias del escritorio remoto de Windows
El servicio de licencias del escritorio remoto de Windows se utiliza como parte de una implementación de los servicios de escritorio remoto de Windows (RDS). RDS es una solución de virtualización para implementar y gestionar escritorios remotos virtuales para los usuarios.
El servicio de licencias se utiliza para emitir y gestionar licencias de acceso de cliente, que son necesarias para conectarse a escritorios virtuales generados a través de los servicios de escritorio.
Este mes, existen tres vulnerabilidades críticas de ejecución remota de código, así como cuatro vulnerabilidades de denegación de servicio en el servicio de licencias del escritorio remoto de Windows.
| Número de CVE | Efecto |
|---|---|
| CVE-2024-38077 | Ejecución remota de código |
| CVE-2024-38074 | |
| CVE-2024-38076 | |
| CVE-2024-38071 | Denegación de servicio |
| CVE-2024-38072 | |
| CVE-2024-38073 | |
| CVE-2024-38099 |
Mitigación
La recomendación de Microsoft es desactivar el servicio si ya no se utiliza. A medida que más organizaciones se trasladan a la nube, es posible que la implementación de RDS también se migre a la nube y que el servidor de licencias local ya no sea necesario. Según nuestras observaciones, el 50 % de los entornos tenían un servidor con el servicio de licencias del escritorio remoto (TermServLicensing) en ejecución.
Puede utilizar la siguiente osquery para detectar el servicio y su estado:
SELECT
status, pid, start_type
FROM
services
WHERE
name='TermServLicensing'
Además, se puede acceder al servicio de licencias a través de la red mediante una llamada a procedimiento remoto (RPC). Como tal, utiliza puertos efímeros y un canal con nombre (\\pipe\\HydraLsPipe) para la comunicación, que puede ser difícil de rastrear con el tiempo. Puede utilizar el seguimiento de eventos para Windows (ETW) para supervisar el tráfico de RPC o limitar el acceso a la interfaz de RPC con filtros RPC. El UUID de su interfaz es {3d267954-eeb7-11d1-b94e-00c04fa3080d}.
Biblioteca de códecs de Microsoft Windows
La biblioteca de códecs de Microsoft Windows es el códec integrado en Windows. Los códecs se usan para codificar y descodificar diferentes formatos multimedia, como imágenes, vídeos, audio y fuentes.
Este mes se ha detectado una vulnerabilidad crítica de ejecución de código remoto CVE-2024-38060, que según la sección de preguntas frecuentes, se puede aprovechar al cargar una imagen TIFF maliciosa a un servidor. El códec TIFF forma parte de Windows Imaging Component (WIC) y está integrado en Windows. Como tal, afecta a cualquier instalación de Windows y a cualquier programa que se ejecute en ella y que utilice WIC para analizar imágenes TIFF.
Puede utilizar la siguiente osquery para detectar procesos que cargaron la DLL de la biblioteca de códecs:
SELECT
name, pid, proc.path
FROM
process_memory_map AS pmm
JOIN processes AS procUSING(pid)
WHERE
pmm.path LIKE '%windowscodecs.dll'
También hay dos CVE de divulgación de información: CVE-2024-38055 expone partes de la memoria del kernel de Windows y CVE-2024-38056 puede exponer partes de la memoria heap, presumiblemente de procesos que utilizan la biblioteca de códecs.
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores, relativas a nuestras perspectivas sobre el Patch Tuesday en nuestro blog.
| Servicio | Número de CVE | Efecto | Acceso requerido |
|---|---|---|---|
| Servidor de Microsoft SharePoint | CVE-2024-38023 | Ejecución remota de código | Red, permisos de propietario del sitio |
| CVE-2024-38024 | |||
| CVE-2024-32987 | Divulgación de información | Red, autenticación obligatoria | |
| Servicios criptográficos de Windows | CVE-2024-30098 | Omisión de la función de seguridad | Red, requiere colisión de SHA1 |
| iSCSI de Windows | CVE-2024-35270 | Denegación de servicio | Red local |
| Servicio de servidor DHCP | CVE-2024-38044 | Ejecución remota de código | Red, requiere privilegios específicos de DHCP, presumiblemente de administrador de DHCP |
| Microsoft Defender para IoT | CVE-2024-38089 | Escalada de privilegios | Red |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios. También puede seguirnos en X, anteriormente conocido como Twitter, para recibir actualizaciones en tiempo real.