Perspectiva de Akamai sobre el Patch Tuesday de febrero de 2024
Un ramo de rosas es un regalo encantador, pero, en nuestro sector, preferimos un parche. Como cada mes, el grupo de inteligencia sobre seguridad de Akamai ha analizado las vulnerabilidades más intrigantes a las que se han aplicado parches. De las 73 CVE de este mes, 5 son críticas, pero también tenemos otras 2 CVE que se explotaron en su entorno natural: CVE-2024-21351 en Windows SmartScreen y CVE-2024-21412 en archivos de acceso directo a Internet. Ambas vulnerabilidades son omisiones de seguridad que permiten a los atacantes eludir las verificaciones de seguridad que alertarían a los usuarios sobre el acceso a archivos potencialmente maliciosos.
En esta publicación de blog, evaluaremos la importancia real de las vulnerabilidades y lo comunes que son las aplicaciones y los servicios afectados para proporcionar una perspectiva realista sobre los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe continuo y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
Este mes, nos centramos en las áreas en las que se han aplicado parches a los errores:
Vulnerabilidades explotadas libremente
CVE-2024-21351 — Windows SmartScreen (CVSS 7.6)
Se trata de una vulnerabilidad de omisión de seguridad, que ignora la advertencia de seguridad de SmartScreen al abrir archivos potencialmente maliciosos que se descargaron de la web. En ese escenario, Windows SmartScreen se encarga de mostrar una pantalla de advertencia. La vulnerabilidad requiere que el atacante cree un archivo de una forma específica que hará que Windows SmartScreen no lo compruebe y, por lo tanto, omita la pantalla de advertencia. Según las notas de la CVE, también es posible insertar código en el proceso de SmartScreen a través de esta vulnerabilidad.
No es la primera vez que los atacantes explotan activamente las vulnerabilidades de omisión de SmartScreen. parche de noviembre de 2023 también incluyó una corrección para una vulnerabilidad de omisión que se ha notificado como explotada activamente.
CVE-2024-21412 — Archivos de acceso directo a Internet (CVSS 8.1)
Los archivos de acceso directo a Internet son archivos .url que dirigen a direcciones de Internet. La vulnerabilidad omite algunas comprobaciones de seguridad que deberían producirse al hacer doble clic en esos archivos, de forma similar a la CVE de SmartScreen anterior (de hecho, la CVE de SmartScreen de noviembre de 2023 era específica para archivos de acceso directo a Internet y esta CVE es una omisión de esa corrección). Los archivos de acceso directo deben diseñarse específicamente y la víctima debe hacer clic en ellos para desencadenar la vulnerabilidad. Se ha utilizado como parte de una campaña del grupo Water Hydra. Puede encontrar más detalles al respecto en la publicación de Peter Girnus en X, antes conocido como Twitter, o en el blog de Trend Micro.
Windows Exchange Server y Microsoft Outlook
Aunque Exchange Server y Outlook son dos productos independientes, están tan estrechamente relacionados (el primero es el servidor de correo electrónico y el segundo es el cliente de correo electrónico) que hemos decidido tratarlos juntos. Había tres CVE corregidas en Outlook, una de ellas crítica, y otra CVE crítica en Exchange Server.
CVE-2024-21413 es una vulnerabilidad crítica de ejecución remota de código en Outlook que (según las notas de Microsoft) permite que los atacantes omitan la vista protegida de Office y abran documentos en modo de edición en lugar de en modo de solo lectura. Esto podría derivar en la omisión de mecanismos de seguridad y la filtración de credenciales, que podrían utilizarse para la ejecución remota de código. Esta vulnerabilidad fue descubierta por Haifei Li de Check Point Research. Puede obtener más información sobre la vulnerabilidad en esta publicación de blogDLL proxying de itm4n’s.
CVE-2024-21410 es otra vulnerabilidad crítica de ejecución remota de código, pero en Windows Exchange Server. La vulnerabilidad requiere que los atacantes logren acceder a algún tipo de canal de máquina intermedia para transmitir credenciales a Exchange Server y autenticarse como la víctima. Los atacantes podrían entonces realizar acciones privilegiadas suplantando la identidad de la víctima. Microsoft recomienda habilitar Extended Protection para la autenticación como mitigación del riesgo, pero también se recomienda aplicar parches. Según nuestras observaciones, el 27 % de las redes empresariales tenían un Exchange Server local.
Número de CVE |
Componente |
Efecto |
Acceso requerido |
|---|---|---|---|
Windows Exchange Server |
Escalada de privilegios |
Red |
|
Microsoft Outlook |
Ejecución remota de código |
||
Escalada de privilegios |
Local |
Windows OLE y ODBC
Windows OLE y ODBC son especificaciones API diseñadas para abstraer la conexión entre un consumidor de datos y un origen de datos. Mientras que ODBC es anterior y de procedimiento, OLE es más reciente, se implementa mediante el Modelo de objetos componentes (COM) y también admite bases de datos no relacionales.
Hubo 18 CVE corregidas este mes, 16 relacionadas con OLE y 2, con ODBC. Todas las CVE son para la ejecución remota de código dirigido al cliente de base de datos. Los atacantes tienen que atraer a las víctimas para que se conecten a una base de datos maliciosa bajo su control, desde la que pueden enviar paquetes especialmente diseñados para desencadenar la ejecución remota de código en el cliente de la víctima. Casi todas las CVE tienen una puntuación del CVSS de 8,8.
Posible mitigación
El impacto de todas las vulnerabilidades se puede mitigar mediante la segmentación. La creación de una lista de autorización de servidores SQL conocidos de la organización garantizará que no se realicen conexiones a servidores externos desconocidos, evitando así la cadena de ataque descrita anteriormente.
Número de CVE |
Componente |
|---|---|
Controlador WDAC ODBC de Microsoft |
|
Controlador ODBC de Microsoft |
|
Windows OLE |
|
Proveedor OLE DB de Microsoft WDAC para SQL Server |
|
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores, relativas a nuestras perspectivas sobre el Patch Tuesday en nuestro blog.
Servicio |
Número de CVE |
Efecto |
Acceso requerido |
|---|---|---|---|
Escalada de privilegios |
Local |
||
Ejecución de código arbitrario |
|||
Ejecución remota de código |
Red |
||
Denegación de servicio |
Red |
||
Denegación de servicio |
Red |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios. También puede seguirnos en X, anteriormente conocido como Twitter, para recibir actualizaciones en tiempo real.
