Perspectiva de Akamai sobre el Patch Tuesday de mayo de 2024
Solo tenemos un Día de Star Wars al año, pero 12 Patch Tuesdays; una proporción terrible en mi opinión…
Sea como fuere, el Patch Tuesday de mayo contiene 59 CVE, si bien solo una es crítica (en el servidor de Microsoft SharePoint), aunque también incluye parches para dos vulnerabilidades en circulación.
En esta publicación de blog, analizaremos la importancia de las vulnerabilidades y cómo de comunes son las aplicaciones y los servicios afectados para ofrecer una visión realista de los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe continuo y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
Este mes, nos centramos en las áreas en las que se han aplicado parches a los errores:
Vulnerabilidades en circulación
CVE-2024-30040 — Plataforma MSHTML de Windows
MSHTML es un cargador de sitios web para el sistema operativo Windows. Este expone una interfaz de Modelo de objetos componentes (COM) que permite que los programas añadan funciones de carga web. Se utiliza en Internet Explorer, el modo de Internet Explorer de Microsoft Edge, Microsoft Outlook y otros programas.
Se han detectado varias vulnerabilidades en la plataforma MSHTML (incluidas algunas que han detectado los investigadores de Akamai) y es un objetivo de explotación atractivo para los atacantes debido a su capacidad para eludir los mecanismos de defensa y al hecho de que es una función integrada en Windows.
Esta vez, según el Centro de respuesta de seguridad de Microsoft (MSRC), la vulnerabilidad omite las mitigaciones OLE en Microsoft 365 y Microsoft Office. La vulnerabilidad requiere que los atacantes convenzan a los usuarios para que descarguen y abran un archivo malicioso mediante algún tipo de ingeniería social y, una vez que el archivo malicioso se abre y se activa la vulnerabilidad, permite la ejecución de código en el contexto de la víctima.
CVE-2024-30051 — Biblioteca principal de DWM de Windows
A diferencia de la vulnerabilidad anterior, se trata de una vulnerabilidad de derivación de privilegios en Desktop Window Manager (DWM) de Windows. DWM se encarga de administrar las ventanas visibles en la pantalla; ha sido parte de Windows desde Windows Vista y se implementa en el proceso dwm.exe.
En este caso, Kasperskyha detectado la vulnerabilidad, la cual ha explotado la campaña de troyanos de QakBot.
Microsoft SharePoint es un sistema de gestión y almacenamiento de documentos basado en la Web que se integra con otros productos de Microsoft Office. Este mes hay dos CVE; una de ellas es una vulnerabilidad crítica de ejecución remota de código (RCE) con una puntuación CVSS de 8,8 (CVE-2024-30044), mientras que la otra es una vulnerabilidad de revelación de información con una puntuación CVSS de 6,5 (CVE-2024-30043).
CVE-2024-30044 requiere que los atacantes se autentiquen en el servidor de SharePoint con una cuenta que tenga permisos de propietario del sitio como mínimo. Después de la autenticación, deben cargar un archivo especialmente diseñado y acceder a él mediante una solicitud de API. Esto desencadenaría una deserialización de los parámetros de archivo y provocaría la inyección de código en el proceso del servidor de SharePoint. Según el MSRC, es “más probable que se explote” esta vulnerabilidad, lo que significa que no resulta complejo desencadenarla a pesar de los numerosos pasos que implica.
CVE-2024-30043 también requiere autenticación y permite a los atacantes obtener contenido de archivos en el servidor. En función de los privilegios de usuario que posean los atacantes, el alcance de los archivos a los que pueden acceder aumenta.
En nuestras observaciones, hemos visto que aproximadamente el 30 % de los entornos tenían al menos un equipo con un servidor de SharePoint instalado.
Puesto que los servidores de SharePoint se suelen utilizar para compartir documentos, puede ser difícil segmentar o limitar el acceso de los usuarios a ellos sin dañar las operaciones normales. Por lo tanto, le recomendamos que aplique parches a su servidor lo antes posible.
No obstante, como ambas CVE requieren autenticación del usuario, podría ser posible mitigar algunos de los riesgos reforzando el acceso de los usuarios o aumentando la sensibilidad de las alertas sobre la actividad o los inicios de sesión sospechosos de los usuarios.
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores, relativas a nuestras perspectivas sobre el Patch Tuesday en nuestro blog.
Servicio |
Número de CVE |
Efecto |
Acceso requerido |
|---|---|---|---|
Ejecución remota de código |
Red |
||
Ejecución remota de código |
Red, el usuario debe conectarse a un servidor SQL malicioso |
||
Denegación de servicio |
Red |
||
Divulgación de información |
Local |
||
Suplantación |
Red, autenticación obligatoria |
||
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios. También puede seguirnos en X, anteriormente conocido como Twitter, para recibir actualizaciones en tiempo real.