Perspectiva de Akamai sobre el Patch Tuesday de abril de 2024
Feliz Fiesta del Fin del Ayuno, feliz Semana Santa y feliz Pascua Judía. Abril es tradicionalmente el mes de las fiestas religiosas y, si consideramos las CVE como regalos, se puede decir que Microsoft tiene un espíritu festivo. El Patch Tuesday de abril de 2024 tiene un total de 147 CVE, y tres de ellas son críticas en Microsoft Defender para IoT. También había una CVE en el mundo real: un certificado de Microsoft que se utiliza para firmar cargas maliciosas.
En esta publicación de blog, analizaremos la importancia de las vulnerabilidades y cómo de comunes son las aplicaciones y los servicios afectados para ofrecer una visión realista de los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe continuo y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
Este mes nos centraremos en las áreas siguientes en las que se han aplicado parches a los errores
Controlador proxy
Sophos X-Ops ha detectado una carga maliciosa firmada con una firma de Microsoft Windows Hardware Compatibility Publisher para intentar enmascararla como legítima. Notificó su hallazgo a Microsoft, y la CVE-2024-26234 es la revocación del certificado implicado, por lo que ya no se consideraría de confianza.
Es posible buscar cargas firmadas con la firma afectada mediante Insight. Los clientes interesados pueden ejecutar la siguiente consulta para comprobar si hay algún proceso en ejecución firmado con el certificado revocado:
SELECT issuer_name, path
FROM authenticode
WHERE
path IN (SELECT DISTINCT path FROM processes)
AND
serial_number = '3300000057ee4d659a923e7c10000000000057'
AND
subject_name = 'Microsoft Windows Hardware Compatibility Publisher'
Microsoft Defender para IoT
Microsoft Defender para IoT es una plataforma de seguridad que ayuda a defender los componentes de red industrial, como los dispositivos del Internet de las cosas (IoT), los sistemas de control industrial y la tecnología operativa. Este mes se han aplicado parches para tres vulnerabilidades críticas de ejecución remota de código (RCE) y tres vulnerabilidades importantes de escalada de privilegios (EoP).
Las vulnerabilidades en sí afectan a diferentes componentes de la pila de Defender para IoT. CVE-2024-21322 es una RCE que se explota a través de la aplicación web del portal, mientras que CVE-2024-21323 es una RCE que se explota a través de un paquete de actualización de sensores. Independientemente del componente, todas las vulnerabilidades se pueden explotar a través de la red, por lo que sería posible detectar o mitigar parte del riesgo mediante la segmentación de la red.
Número de CVE |
Efecto |
|---|---|
Ejecución remota de código |
|
Escalada de privilegios |
|
Windows Routing and Remote Access Service (RRAS)
Windows Routing and Remote Access Service (RRAS) es un servicio de Windows que permite que el sistema operativo se comporte como un enrutador, permitiendo las conexiones sitio a sitio mediante VPN o conexión telefónica. Hay tres vulnerabilidades críticas en el servicio en el mes actual, todas con una puntuación de CVSS de 8,8. Las notas del parche no nos aclaran mucho, excepto que las vulnerabilidades de RCE las activa un servidor malicioso en un cliente desprevenido. Por lo tanto, es posible mitigar algunos de los riesgos que entrañan estas vulnerabilidades a través de Zero Trust y la segmentación.
RRAS no está disponible en todos los servidores de Windows, sino que forma parte de la función de acceso remoto y se tiene que instalar de forma específica. En nuestras observaciones, hemos visto que aproximadamente el 12 % de los entornos supervisados tienen servidores Windows con la función de acceso remoto instalada.
Además de RRAS, el parche de este mes contiene varias CVE de Remote Access Connection Manager. Los dos servicios están relacionados, ya que Connection Manager se utiliza para organizar perfiles de conexión con RRAS (entre otros).
Número de CVE |
Componente |
Efecto |
|---|---|---|
RRAS |
Ejecución remota de código |
|
Connection Manager |
Escalada de privilegios |
|
Divulgación de información |
||
Autenticación de Windows
La autenticación de Windows es un término bastante amplio, ya que existen diversos métodos, protocolos y proveedores de autenticación compatibles con Windows. Las dos CVE de la autenticación de Windows son de dos componentes completamente diferentes.
CVE-2024-21447 es una vulnerabilidad de escalada de privilegios (EoP) del servicio Administrador de usuarios, posiblemente debida a restricciones de directorio inadecuadas. Es una omisión de la CVE-2023-36047, ya que aparentemente era una solución parcial.
CVE-2024-29056, sin embargo, parece ser un problema en la implementación de la validación de PAC de Kerberos, según la sección de preguntas frecuentes y el artículo de la base de conocimientos relacionado. Posiblemente también esté relacionada con las otras CVE de Kerberos.
Número de CVE |
Componente |
Efecto |
|---|---|---|
Administración de usuarios |
Escalada de privilegios |
|
Validación de PAC de Kerberos |
||
Kerberos de Windows |
Denegación de servicio |
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores, relativas a nuestras perspectivas sobre el Patch Tuesday en nuestro blog.
Servicio |
Número de CVE |
Efecto |
Acceso requerido |
|---|---|---|---|
Divulgación de información |
Local |
||
Ejecución remota de código |
Local, requiere la interacción del usuario |
||
Red |
|||
Omisión de la función de seguridad |
Red, requiere la interacción del usuario |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios. También puede seguirnos en X, anteriormente conocido como Twitter, para recibir actualizaciones en tiempo real.