Perspectiva de Akamai sobre el Patch Tuesday de junio de 2024
Este mes ha sido especialmente austero, probablemente porque todo el mundo está ocupado celebrando el Orgullo. Creemos una alianza entre todos, como la que representa a esta comunidad, frente a las grandes vulnerabilidades de seguridad.
Como cada mes, el grupo de inteligencia sobre seguridad de Akamai ha analizado las vulnerabilidades más intrigantes a las que se han aplicado parches.
Se han aplicado parches para 49 vulnerabilidades en el Patch Tuesday de junio de 2024, con una vulnerabilidad crítica en Microsoft Message Queuing (MSMQ) y una vulnerabilidad con una puntuación de CVSS alta (9,8) en Azure Data Science Virtual Machine (DSVM).
En esta publicación de blog, analizaremos la importancia de las vulnerabilidades y cómo de comunes son las aplicaciones y los servicios afectados para ofrecer una visión realista de los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe continuo y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
Este mes, nos centramos en las áreas en las que se han aplicado parches a los errores:
Microsoft Message Queuing (MSMQ)
El servicio MSMQ es una función opcional de Windows que se utiliza para distribuir mensajes entre diferentes aplicaciones. A pesar de ser opcional, muchas aplicaciones empresariales para Windows, como Microsoft Exchange Server, la utilizan en segundo plano. En nuestras observaciones, detectamos que este servicio está instalado en casi el 74 % de los entornos y, normalmente, en más de un equipo.
Este mes, hay una vulnerabilidad crítica de ejecución remota de código (RCE) en la red, CVE-2024-30080, la cual puede permitir que los atacantes ejecuten código de forma remota mediante el envío de un paquete especialmente diseñado al servidor MSMQ de la víctima.
Dado que el servicio MSMQ es accesible a través del puerto 1801, pero no debería haber tantos clientes con acceso a él (ya que la propia aplicación empresarial lo utiliza principalmente), recomendamos restringir el acceso arbitrario a la red a ese puerto y servicio. Esta es también la mitigación que recomienda Microsoft para la vulnerabilidad.
Intente segmentar el servicio mediante políticas de lista de autorización para permitir el acceso solo a los equipos que realmente lo necesiten. Para obtener ayuda con la segmentación, puede consultar nuestra entrada de blog La segmentación (microsegmentación) desde una perspectiva práctica (específicamente, las secciones Acordonamiento de aplicaciones y Microsegmentación ).
Azure Data Science Virtual Machine (DSVM)
Azure Data Science Virtual Machine es un tipo de imagen de máquina virtual personalizada disponible en la plataforma en la nube Azure que se suministra preinstalada con varias herramientas y programas necesarios para la ciencia de datos. CVE-2024-37325 es una vulnerabilidad de escalada de privilegios (EoP) que afecta a las DSVM de Ubuntu con versiones anteriores a la 24.05.24.
En lugar de ser una EoP típica en la que un atacante obtiene una sesión con privilegios elevados tras al ataque, en este caso parece que se produce una especie de fuga de datos que se origina en uno de los servicios instalados en esas máquinas virtuales. Un atacante no autenticado que envíe una solicitud específica puede filtrar las credenciales de los usuarios autorizados y utilizar esas credenciales para iniciar sesión en esas máquinas.
Microsoft ha proporcionado orientación sobre cómo actualizar las máquinas afectadas. Además, puesto que parece (al menos nos lo parece a nosotros) que el problema es con uno de los servicios instalados, recomendamos comprobar todos los puertos en los que reciben esas máquinas e intentar restringirlos para evitar el acceso desde el exterior.
Protocolo de detección de topología de capa de enlace de Windows y controlador de Wi-Fi de Windows
El protocolo de detección de topología de capa de enlace de Windows es un protocolo propiedad de Microsoft que se utiliza para asignar dispositivos con el fin de comprender la topología de red. Aunque el protocolo admite varios tipos de redes (por cable, inalámbricas e incluso PowerLine), las dos vulnerabilidades corregidas este mes giran en torno al adaptador de red Wi-Fi, por lo que hemos combinado nuestro análisis con la vulnerabilidad del controlador de Wi-Fi.
Puesto que todas las vulnerabilidades giran en torno a Wi-Fi, un atacante tendría que estar cerca (proximidad de radio) para poder explotarlas, por lo que si simplemente sigue la regla del "peligro de los extraños", todo irá bien.
Bromas aparte, la implementación del protocolo Wi-Fi está fuera del ámbito de la mayoría de los productos de firewall o segmentación, ya que se ocupan de los datos transferidos a través de redes y no de la configuración de esas redes. Por ello, no existe realmente una mitigación para esta vulnerabilidad que no sea la aplicación de parches (o una jaula de Faraday, pero en este caso tampoco podrá conseguir una conexión Wi-Fi normal…), por lo que recomendamos que aplique el parche lo antes posible.
Servicio |
Número de CVE |
Efecto |
|---|---|---|
Protocolo de detección de topología de capa de enlace de Windows |
Ejecución remota de código |
|
Controlador Wi-Fi de Windows |
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores, relativas a nuestras perspectivas sobre el Patch Tuesday en nuestro blog.
Servicio |
Número de CVE |
Efecto |
Acceso requerido |
|---|---|---|---|
Divulgación de información |
Local |
||
Ejecución remota de código |
Local, un atacante tendría que convencer a la víctima de que abriera un archivo malicioso |
||
Denegación de servicio |
Red |
||
Ejecución remota de código |
Red |
||
Denegación de servicio |
Local |
||
Divulgación de información |
Local |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios. También puede seguirnos en X, anteriormente conocido como Twitter, para recibir actualizaciones en tiempo real.