Perspectiva de Akamai sobre el Patch Tuesday de agosto de 2024
Las Vegas se ha visto inundada de hackers en estos días, que han estado explotándolo todo por doquier. Sin duda, este mes ha recordado al salvaje Oeste, tal y como se ha visto este Patch Tuesday, en el que se identificaron seis vulnerabilidades explotadas libremente. De las 89 CVE publicadas en el Patch Tuesday de agosto, cuatro de ellas fueron divulgadas públicamente y una se presentó en Black Hat. Este mes también contenía un aviso.
Como cada mes, el grupo de inteligencia sobre seguridad de Akamai ha analizado las vulnerabilidades más intrigantes a las que se han aplicado parches.
En esta publicación de blog, analizaremos la importancia de las vulnerabilidades y cómo de comunes son las aplicaciones y los servicios afectados para ofrecer una visión realista de los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe continuo y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
Este mes, nos centramos en las áreas en las que se han aplicado parches a los errores:
Vulnerabilidades detectadas en el mundo real
CVE-2024-38178 — Daños en la memoria del motor de secuencias de comandos (CVSS 7.5)
Los lenguajes de scripts de Windows pueden hacer referencia a varias implementaciones de lenguajes de scripts dentro de Windows, como VBScript, JavaScript u otros. Hemos observado que el archivo jscript9.dll ha cambiado, por lo que suponemos que la vulnerabilidad que se corrigió se encuentra en el componente de JScript .
JScript es la implementación de Microsoft de ECMAScript, el mismo estándar que se encuentra en JavaScript y que utiliza Internet Explorer. Chakra también es un motor de JavaScript, derivado de JScript, y Microsoft Edge Legacy lo utiliza (las versiones más recientes de Edge están basadas en Chromium). Ambos se implementan como archivos DLL, oportunamente denominados jscript9.dll y chakra.dll.
Según el aviso, en los ataques hace falta que la víctima haga clic en un enlace y que utilice Edge en modo Internet Explorer. Tenemos la teoría de que esta vulnerabilidad podría activarse de otras formas también, posiblemente a través de Office.
CVE-2024-38213 — Windows Mark of the Web (CVSS 6.5)
Es importante tener en cuenta que esta vulnerabilidad se corrigió en junio de 2024, pero el aviso no se publicó hasta agosto de 2024.
Se trata de una vulnerabilidad de omisión de seguridad, que ignora la advertencia de seguridad de SmartScreen al abrir archivos potencialmente maliciosos que se descargaron de la web. En ese escenario, Windows SmartScreen se encarga de mostrar una pantalla de advertencia. La vulnerabilidad requiere que el atacante cree un archivo de una forma específica que hará que Windows SmartScreen no lo compruebe y, por lo tanto, omita la pantalla de advertencia.
No es la primera vez que los atacantes explotan activamente las vulnerabilidades de omisión de SmartScreen. Los parches de noviembre de 2023 y febrero de 2024 también incluían correcciones para las vulnerabilidades de omisión que se notificaron como explotadas activamente.
Además, también se han explotado otras cuatro vulnerabilidades libremente.
TCP/IP de Windows
La pila TCP/IP de Windows es un componente fundamental de la funcionalidad de red del sistema operativo. Gestiona el transporte de datos a través de redes mediante el conjunto de protocolos TCP/IP, que es la base de la comunicación a través de Internet y la mayoría de las redes locales.
En el sistema operativo Windows, la pila TCP/IP se implementa en el controlador tcpip.sys. Este módulo del núcleo es responsable de manejar los protocolos de red, incluyendo TCP sobre capas de transporte como IPv4 y IPv6.
CVE-2024-38063 Este error de seguridad CVSS (9,8) es muy grave y puede permitir acceder a la información confidencial del sistema a un atacante no autenticado para enviar paquetes IPv6 especialmente diseñados que podrían conducir a la ejecución remota de código.
En una importante entrada de blog del centro de respuestas de seguridad de Microsoft el equipo trató las CVE fundadas anteriormente en este componente, donde se pueden realizar ataques de ejecución remota de código (RCE) y denegación de servicio (DoS) utilizando paquetes mal diseñados. El CVSS indica que la complejidad del ataque es baja (AC:L) en comparación con los resultados anteriores.
Según Microsoft, los dispositivos que tienen IPv6 desactivado están protegidos de este tipo de vulnerabilidades. Creemos que esta vulnerabilidad puede ser utilizada por agentes maliciosos debido al uso generalizado de IPv6, la baja complejidad del ataque y el hecho de que es accesible para atacantes no autenticados, así que ¡aplique parches a sus máquinas!
Puede utilizar la siguiente osquery para detectar adaptadores de red que están habilitados y tienen una dirección IPv6:
SELECT interface_details.connection_id, interface_addresses.address
FROM interface_details
JOIN interface_addresses ON interface_addresses.interface =
interface_details.interface
WHERE enabled=1 AND interface_addresses.address like "%::%";
Virtualización de red de Windows
La virtualización de red de Windows (WNV) es una característica del marco de virtualización de red de Hyper-V que permite que las máquinas virtuales (VM) se comuniquen como si estuvieran en la misma subred, incluso cuando se encuentren en subredes o redes físicas diferentes. Esto se consigue desvinculando las redes virtuales de la red física, lo que permite que las máquinas virtuales se muevan entre hosts físicos sin alterar las configuraciones de red.
WNV utiliza Network Virtualization Generic Routing Encapsulation (NVGRE) o Virtual Extensible LAN (VXLAN) para encapsular paquetes, lo que proporciona aislamiento, escalabilidad y compatibilidad con varios clientes en entornos de nube.
CVE-2024-38159 y CVE-2024-38160 Ambos podrían dar lugar a que un invitado se introduzca en el host, lo que a su vez podríadar lugar a la ejecución remota de código (RCE). Aunque ambas vulnerabilidades tienen un CVSS de 9,1, solo afectan a Windows Server 2016 y Windows 10 (1607).
Microsoft sugiere mitigar las vulnerabilidades ejecutando las máquinas Hyper-V dentro de otra plataforma virtual como VMware o renunciando completamente a la virtualización basada en Hyper-V.
Windows Routing and Remote Access Service (RRAS)
Windows Routing and Remote Access Service (RRAS) es un servicio de Windows que permite que el sistema operativo se comporte como un enrutador, permitiendo las conexiones sitio a sitio mediante VPN o conexión telefónica. Hay seis vulnerabilidades en el servicio en el mes actual, cinco de ellas con una puntuación de CVSS de 8,8.
Las notas del parche no nos aclaran mucho, excepto que las vulnerabilidades de RCE las activa un servidor malicioso en un cliente desprevenido. Por lo tanto, es posible mitigar algunos de los riesgos que entrañan estas vulnerabilidades a través de Zero Trust y la segmentación.
RRAS no está disponible en todos los servidores de Windows, sino que forma parte de la función de acceso remoto y se tiene que instalar de forma específica. Hemos visto que aproximadamente el 12 % de los entornos supervisados tienen servidores Windows con la función de acceso remoto instalada.
Microsoft Outlook
Parece que no podemos tener un Patch Tuesday sin vulnerabilidades en Outlook. CVE-2024-38173 es una vulnerabilidad de RCE en Outlook. Aunque el panel de vista previa es un vector de ataque, la vulnerabilidad requiere las credenciales de la víctima.
Para desencadenar la vulnerabilidad, se carga un formulario malicioso en Exchange. Una vez que el Outlook de la víctima se sincroniza con Exchange, se descarga el formulario malicioso, lo que puede llevar a la ejecución de código en el equipo de la víctima. Esta vulnerabilidad fue descubierta por Morphisec, y creemos que es similar a la CVE-2024-30103.
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores, relativas a nuestras perspectivas sobre el Patch Tuesday en nuestro blog.
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios. También puede seguirnos en X, anteriormente conocido como Twitter, para recibir actualizaciones en tiempo real.