La perspectiva de Akamai sobre el Patch Tuesday de enero de 2024
Año nuevo, CVE nuevas. Como cada mes, el grupo de inteligencia sobre seguridad de Akamai ha analizado las vulnerabilidades más intrigantes a las que se han aplicado parches. De las 48 CVE totales de este mes, solo 2 son críticas, pero también tenemos un extra de año nuevo: 2 de las CVE actualizadas este mes fueron encontradas por investigadores de Akamai Ben Barnea y los Tomer Peled.
En esta publicación de blog, evaluaremos la importancia real de las vulnerabilidades y lo comunes que son las aplicaciones y los servicios afectados para proporcionar una perspectiva realista sobre los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe continuo y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
Este mes, nos centramos en las áreas en las que se han aplicado parches a los errores:
Plataformas HTML de Windows
Aunque este mes se llama Plataformas HTML de Windows, creemos que este nombre también se refiere a MSHTML de Windows como el mes pasado. MSHTML es un cargador de sitios web para el sistema operativo Windows. Este expone una interfaz de Modelo de objetos componentes (COM) que permite que los programas añadan funciones de carga web. Se utiliza en Internet Explorer, el modo de Internet Explorer de Microsoft Edge, Microsoft Outlook y otros programas.
El investigador de Akamai Ben Barnea dio con CVE-2024-20652, una vulnerabilidad de omisión de funciones seguridad con una puntuación del CVSS de 7,5. La vulnerabilidad en sí se encuentra en MapUrlToZone, que es una función a la que se suele llamar para determinar si una dirección URL apunta a un recurso del equipo, dentro de la red o en Internet.
Esta vulnerabilidad es similar a vulnerabilidades reveladas anteriormente. Hace que MapUrlToZone concluya que una dirección URL reside en la intranet, mientras que la dirección URL apunta realmente a un recurso de Internet. Esto se puede usar para evitar la actualización de la CVE-2023-23397 de Outlook para, finalmente, llevar a la fuga de credenciales NTLM a un destino remoto (controlado por el atacante).
Temas de Windows
Temas de Microsoft es una característica de Windows que permite al usuario cambiar la forma en que se muestran los iconos o las fuentes, entre otros posibles elementos. Es una parte integrada de Windows.
El investigador de Akamai Tomer Peled dio con CVE-2024-21320, que se clasifica como una vulnerabilidad de suplantación con una puntuación del CVSS de 6,5. Para ser más precisos, se trata de una vulnerabilidad de coerción de autenticación porque hace que la víctima inicie una autenticación NTLM.
Para desencadenar la vulnerabilidad, el usuario solo necesita ver un archivo de tema malicioso mediante el Explorador, sin ninguna interacción adicional (ni siquiera es necesario abrir el archivo de tema explícitamente). Compartiremos más detalles sobre esta vulnerabilidad en una próxima publicación del blog, así que permanezca atento.
Se ha actualizado otra CVE (CVE-2024-20691) en Temas de Windows este mes, una vulnerabilidad de revelación de información que puede revelar memoria heap a los atacantes, siempre que ganen una condición de carrera.
Hyper-V de Windows
Hyper-V de Windows es el hipervisor nativo de Windows. Permite el alojamiento de máquinas virtuales (invitados) en una sola máquina host. La virtualización es muy común en las redes empresariales, ya que permite ahorrar en costes de hardware.
Según nuestras observaciones, el 90 % de los entornos tenían al menos un equipo con Hyper-V habilitado (hosts) y una media del 25 % de los equipos con Windows tenían Hyper-V habilitado.
Este mes se han aplicado parches a dos vulnerabilidades en Hyper-V, una de ellas crítica.
- CVE-2024-20699 es una vulneración de denegación de servicio (DoS) que los atacantes pueden desencadenar en los equipos invitados vulnerables. Requiere que los atacantes tengan acceso local al invitado vulnerable.
- CVE-2024-20700 es una vulnerabilidad crítica de ejecución de código remota que permite a los atacantes ejecutar código en equipos Hyper-V vulnerables.
Mitigación
Dado que CVE-2024-20700 requiere acceso a la red, debería ser posible utilizar segmentación de red para limitar el alcance del acceso a los hosts Hyper-V, reduciendo así el riesgo de ataque. Esto no pretende ser una alternativa a la aplicación de parches, sino una solución a corto plazo. Para detectar hosts Hyper-V, puede utilizar la siguiente OSQuery:
Kerberos de Windows
Kerberos es la columna vertebral de la arquitectura de dominio de Windows. Es el mecanismo de autenticación predeterminado, que ha reemplazado a NTLM. Existe una única vulnerabilidad crítica en Kerberos actualizada este mes: CVE-2024-20674.
Según la descripción de la vulnerabilidad de Microsoft, permite la suplantación y requiere que el atacante establezca un canal de máquina intermediaria (MITM) con un cliente víctima. Esto permitiría que el atacante se enmascarara como un servidor de autenticación.
Cadena de ataques
A nuestro entender, una cadena de explotación exitosa debería tener un aspecto similar a este:
- El atacante establece una posición MITM sobre una víctima. Esto se puede hacer de muchas maneras, como envenenamiento de DNS, ARP o LLMNR. (El investigador de Akamai Ori David descubrió recientemente un nuevo vector para lograr MITM mediante suplantación de DNS de DHCP).
- El atacante envía un mensaje Kerberos malicioso a la víctima, lo que hace que crea que el equipo del atacante es el servidor de autenticación Kerberos.
- Una vez que el cliente se conecta al equipo del atacante, la vulnerabilidad permite que el atacante suplante al cliente y realice acciones dentro del dominio en su nombre.
Mitigación
Dado que Kerberos es tan integral en el dominio de Windows, es crucial que se apliquen parches a los sistemas lo antes posible, especialmente porque la vulnerabilidad está marcada como "explotación más probable". Dado que la vulnerabilidad afecta a los clientes Kerberos, probablemente no sea suficiente con aplicar parches solo a los controladores de dominio; se debe aplicar un parche a todos los equipos Windows del dominio.
La aplicación de parches a tantos sistemas puede llevar algún tiempo, especialmente en dominios más grandes. Mientras tanto, tenemos dos sugerencias para detectar posibles artefactos de explotación de la vulnerabilidad.
- Puede analizar el registro de eventos de Windows para buscar inicios de sesión anómalos en la red: ID de evento 4624 o 4625. Si ve un evento de inicio de sesión de usuario que se origina en un equipo que no debería tener ese usuario, o con un tipo de inicio de sesión inusual (como de red o por lotes), debería suscitar algunas preocupaciones.
- Puesto que la autenticación Kerberos se controla mediante la interfaz RPC para netlogon, puede utilizar el registro RPC ETW para buscar clientes que se conectan con netlogon a un equipo que no es el controlador de dominio. Nuestra herramienta de código abierto de visibilidad de RPC puede ayuda con eso.
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores, relativas a nuestras perspectivas sobre el Patch Tuesday en nuestro blog.
Servicio |
Número de CVE |
Efecto |
Acceso requerido |
|---|---|---|---|
Ejecución remota de código |
Local, requiere que el usuario abra un archivo creado de forma maliciosa |
||
Ejecución remota de código |
Red |
||
Ejecución remota de código |
Red |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios. También puede seguirnos en X, anteriormente conocido como Twitter, para recibir actualizaciones en tiempo real.
