Perspectiva de Akamai sobre el Patch Tuesday de diciembre de 2024
¿Para qué sirven los calendarios de Adviento? Mejor recibir todas las sorpresas ahora mismo (y, por sorpresas, nos referimos a vulnerabilidades y exposiciones comunes [CVE]). Este mes, hay un total de 71 CVE en 32 componentes diferentes. De estas, 17 son esenciales y una fue identificada en su entorno natural.
En esta publicación de blog, analizaremos la importancia de las vulnerabilidades y cómo de comunes son las aplicaciones y los servicios afectados para ofrecer una visión realista de los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe continuo y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
Este mes, nos centramos en las áreas en las que se han aplicado parches a los errores:
Controlador del sistema de archivos de registro común de Windows
El sistema de archivos de registro común es una API de Windows con capacidades de registro de alto rendimiento. Para interactuar con ella, los desarrolladores y los programas utilizan el archivo DLL Clfsw32.dll, un componente de modo de usuario. A pesar de esto, la lógica se implementa en segundo plano en el controlador kernel clfs.sys. Es probable que las vulnerabilidades que se corrigieron este mes se encuentren en este controlador kernel.
Este dato es importante, ya que los atacantes podrían utilizar este controlador legítimo como una técnica de derivación de privilegios incluso tras aplicarse los parches, mediante un ataque de tipo "traiga su propio conductor vulnerable" (BYOVD) .
Existen tres CVE, todas relacionadas con la derivación de privilegios locales. Sin embargo, solo una de ellas, la CVE-2024-49138, se detectó en su entorno natural: CVE-2024-49138.
Número de CVE |
Efecto |
---|---|
Escalada de privilegios |
|
Protocolo ligero de acceso a directorios (LDAP) de Windows
El protocolo ligero de acceso a directorios (LDAP) de Windows es un protocolo de código abierto diseñado para conectar y consultar servicios de directorio y bases de datos. El controlador de dominio de Active Directory tiene una implementación de servidor LDAP para permitir que los programas y servidores que dependen de LDAP utilicen el controlador de dominio existente sin necesidad de un servidor independiente.
Este mes, hay cuatro vulnerabilidades en el servicio LDAP que afectan a los controladores de dominio sin parches. Dos de ellas son de ejecución remota de código (RCE), mientras que las otras dos son de denegación de servicio (DoS). Ninguna de las cuatro requiere autenticación.
Número de CVE |
Efecto |
---|---|
Ejecución remota de código |
|
Denegación de servicio |
|
Hay otra vulnerabilidad de RCE, la CVE-2024-49124, atribuida al cliente LDAP. No obstante, sus notas hacen referencia a la explotación en el lado del servidor. No está claro si afecta al cliente o al servidor en este momento.
No podemos aplicar parches a nuestro controlador de dominio y arriesgarnos a sufrir tiempo de inactividad. ¿Se pueden mitigar las vulnerabilidades en otro lugar?
En realidad no. Puesto que el controlador de dominio es integral a todas las partes del dominio, es prácticamente imposible restringir el acceso a él sin comprometer las operaciones normales de red. Incluso rastrear las vulnerabilidades puede ser difícil, ya que no necesitan autenticación. Los equipos de respuesta a incidentes pueden estar atentos a sesiones LDAP de corta duración que no tengan una respuesta del servidor. Esto podría indicar un intento de explotación.
En cualquier caso, asegúrese de que los controladores de dominio no están abiertos a Internet.
Servicios de escritorio remoto de Windows
El escritorio remoto de Windows se utiliza para conectar de forma remota los escritorios de equipos Windows a través del protocolo de escritorio remoto (RDP). Este mes existen varias vulnerabilidades en diferentes componentes del Escritorio remoto de Windows, por lo que las analizaremos todas juntas.
Las principales son, por supuesto, las nueve vulnerabilidades críticas de RCE en el servidor de escritorio remoto. Un atacante "solo" necesita conectarse a un servidor RDP, enviar spam con paquetes mal formados y ganar una condición de carrera, que luego se puede aprovechar para un RCE.
Como el RDP es muy común en redes y se puede utilizar para el movimiento lateral, recomendamos crear las reglas de políticas pertinentes que lo cubran. Según hemos observado, un 96 % de las redes tenía tráfico RDP de Windows y un 20 % no mostraba restricciones en parte del mismo. Afortunadamente, la mayoría de las CVE afectan específicamente a los servidores con la función de puerta de enlace de escritorio remoto, a pesar de que, por su nombre, parecieran afectar a todos los servicios de escritorio remoto de Windows. Estas puertas de enlace son menos comunes y, según hemos podido comprobar, solo estaban presentes en el 36 % de los entornos.
Número de CVE |
Efecto |
---|---|
Denegación de servicio |
|
Ejecución remota de código |
|
Ejecución remota de código en el lado del cliente |
Restringir el acceso a RDP a los equipos de los usuarios, o bien solo a servidores preautorizados (como soluciones de salto), puede reducir en gran medida el riesgo que suponen estas vulnerabilidades. Hemos cubierto algunos logros rápidos en relación con el RDP en nuestra entrada de blog de segmentación. Independientemente de la política, le recomendamos que aplique parches lo antes posible.
Microsoft Message Queuing (MSMQ)
El servicio Microsoft Message Queue Server (MSMQ) es una función opcional de Windows que se utiliza para distribuir mensajes entre diferentes aplicaciones. A pesar de ser opcional, muchas aplicaciones empresariales para Windows, como Microsoft Exchange Server, la utilizan en segundo plano. En nuestras observaciones, detectamos que este servicio está instalado en casi el 70 % de los entornos y, normalmente, en más de un equipo.
Este mes, se han detectado dos vulnerabilidades críticas de RCE de la red, con las que los atacantes pueden ejecutar código de forma remota enviando un paquete específicamente diseñados al servidor MSMQ de la víctima, sin necesidad de autenticación. También se ha observado otra vulnerabilidad de DoS.
Dado que se puede acceder al servicio MSMQ a través del puerto 1801, aunque no muchos clientes lo hagan (ya que la propia aplicación empresarial lo utiliza principalmente), recomendamos restringir el acceso arbitrario a la red a ese puerto y servicio. Intente segmentar el servicio mediante políticas de lista de autorización para permitir el acceso solo a los equipos que realmente lo necesiten. Puede consultar nuestra entrada de blog sobre segmentación, especialmente las secciones sobre el acordonamiento de aplicaciones y la microsegmentación, para obtener más información.
Número de CVE |
Efecto |
---|---|
Ejecución remota de código |
|
Denegación de servicio |
Servicio de subsistema de autoridad de seguridad local (LSASS) de Windows
El servicio de subsistema de autoridad de seguridad local (LSASS) es uno de los procesos principales del sistema operativo de Windows. Se ejecuta en modo de usuario, pero como proceso protegido, y es responsable de gestionar el acceso y la seguridad, es decir, el inicio de sesión de usuario, la verificación de contraseñas y la gestión de tokens de seguridad.
Los atacantes y los red teamers solían volcar la memoria del proceso, ya que esta almacenaba las contraseñas de los usuarios. Microsoft acabó con esta táctica mediante nuevos mecanismos de seguridad, como la conversión de este servicio en un proceso protegido o, desde hace poco, el uso de Hyper-V para aislarlo del modo de usuario normal. Estas medidas eran esenciales.
Al igual que el proceso de inicio de sesión, este servicio escucha constantemente algunos componentes de red mediante servidores RPC. La RCE más grave de este mes, la CVE-2024-49126, afecta a uno de estos componentes: un atacante remoto puede aprovechar una condición de carrera para ejecutar código arbitrario en el proceso sin tener que autenticarse.
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores, relativas a nuestras perspectivas sobre el Patch Tuesday en nuestro blog.
Servicio |
Número de CVE |
Efecto |
Acceso requerido |
---|---|---|---|
Ejecución de código arbitrario |
Red, el usuario debe abrir un archivo malicioso |
||
Escalada de privilegios |
Red |
||
Divulgación de información |
|||
Ejecución remota de código |
Red |
||
Ejecución remota de código |
Local, el invitado se introduce en el host |
||
Escalada de privilegios |
Local |
||
Escalada de privilegios |
Local |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios. También puede seguirnos en X, anteriormente conocido como Twitter, para recibir actualizaciones en tiempo real.