Perspectiva de Akamai sobre el Patch Tuesday de noviembre de 2024
Mientras esperamos el Día de Acción de Gracias, demos gracias por el Patch Tuesday. Este mes, hay un total de 89 CVE en 39 componentes diferentes. De estas, cuatro son críticas y dos fueron identificadas en su entorno natural.
En esta publicación de blog, analizaremos la importancia de las vulnerabilidades y cómo de comunes son las aplicaciones y los servicios afectados para ofrecer una visión realista de los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe continuo y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
Este mes, nos centramos en las áreas en las que se han aplicado parches a los errores:
Vulnerabilidades detectadas en el mundo real
CVE-2024-49039 — Programador de tareas de Windows (CVSS 8,8)
Es un componente fundamental de Windows que permite a los usuarios automatizar la ejecución de comandos o programas (tareas) de manera planificada. Viene integrado de forma predeterminada en todos los sistemas Windows y se accede a él fácilmente desde la consola de gestión. Los programas y procesos, por su parte, lo hacen a través de su interfaz RPC.
Normalmente, la interfaz RPC aplica controles de acceso estrictos para garantizar que solo los usuarios autorizados puedan crear o ejecutar tareas. La CVE-2024-49039 aparentemente elude algunos de estos controles. Según las notas del parche, un AppContainer (un mecanismo de seguridad diseñado para restringir el acceso de programas no fiables) con baja integridad puede hacer que el Programador de tareas ejecute comandos en un nivel de integración más alto que el recomendado, supuestamente a través de su interfaz RPC.
CVE-2024-43451 — Plataforma MSHTML de Windows (CVSS 6,5)
Según las notas de la CVE, la plataforma MSHTML fue el componente afectado, por lo que nos centraremos en ella.
MSHTML es un cargador de sitios web para el sistema operativo Windows. Este expone una interfaz de Modelo de objetos componentes (COM) que permite que los programas añadan funciones de carga web. Se utiliza en Internet Explorer, el modo de Internet Explorer de Microsoft Edge, Microsoft Outlook y otros programas.
Anteriormente, se han detectado varias vulnerabilidades en la plataforma MSHTML (incluidas algunas que han detectado los investigadores de Akamai) y es un objetivo de explotación atractivo para los atacantes debido a su capacidad para eludir los mecanismos de defensa y al hecho de que es una función integrada en Windows.
Al parecer, en este caso, cuando un usuario abre un archivo especialmente diseñado, se filtra el hash NTLMv2. NTLM es uno de los protocolos de autenticación de Windows. Si se filtra el hash de la contraseña, podrían producirse ataques de retransmisión de autenticación, o el hash podría utilizarse para obtener la contraseña del usuario en texto no cifrado a través de un descifrado sin conexión.
VMSwitch de Microsoft Windows
VMSwitch es un componente de Hyper-V, la plataforma de hipervisor de Windows. Además de ejecutar máquinas virtuales, Hyper-V es una pieza clave en la seguridad de las versiones más recientes de Windows, ya que aporta fiabilidad y privilegios más allá del kernel.
VMSwitch, por su parte, es el conmutador responsable del tráfico de red entre máquinas virtuales alojadas en Hyper-V. Está paravirtualizado, es decir, cuando un invitado Hyper-V interactúa con él, se ejecuta directamente en el host. Esto da pie a que un invitado pueda introducirse en el host para realizar un ataque. Por ello, VMSwitch es un área de investigación lucrativa.
Por supuesto, la CVE-2024-43625 es un ejemplo de ello. Un atacante, camuflado como invitado de Hyper-V, puede enviar solicitudes de red específicamente diseñadas a VMSwitch para obtener una vulnerabilidad Use After Free (UAF) que, de ser explotada, permitiría ejecutar código en el host. Es aún más lucrativa si recordamos que Hyper-V también es el hipervisor de Microsoft Azure, lo que multiplica el alcance de esta vulnerabilidad.
No es la primera vez que VMSwitch está en el punto de mira. De hecho, lo investigamos nosotros mismos y descubrimos que en 2021 se detectó una vulnerabilidad crítica de ejecución remota de código (RCE) con una puntuación de 9,9. Incluso presentamos nuestros hallazgos en el Blackhat de ese mismo año.
Además de esta vulnerabilidad crítica, otras dos CVE afectan a Hyper-V:
Número de CVE |
Efecto |
---|---|
Denegación de servicio |
|
Escalada de privilegios |
Para detectar el uso de Hyper-V, puede utilizar la siguiente osquery:
select name, statename from windows_optional_features where name like 'Microsoft-Hyper-V%'
Según nuestras observaciones, el 93 % de los entornos tenían máquinas con Hyper-V habilitado y, de media, representaban un 25 % de la red.
Kerberos de Windows
Kerberos es la columna vertebral de la arquitectura de dominio de Windows. Es el mecanismo de autenticación predeterminado, que ha reemplazado a NTLM. Existe una única vulnerabilidad crítica en Kerberos actualizada este mes: la CVE-2024-43639 (CVSS 9,8).
La explotación satisfactoria del ataque permite ejecutar código de forma remota y sin necesidad de autenticación. Esto, junto con la nota que menciona que es una vulnerabilidad criptográfica, nos lleva a pensar que el ataque podría dirigirse al proceso de autenticación previa de Kerberos, que tiene lugar al iniciar sesión por primera vez en el dominio. Es decir, el blanco principal son los controladores de dominio, pero podría adaptarse a cualquier otro equipo Windows. Si la vulnerabilidad criptográfica aparece durante el análisis de tickets, también puede aparecer durante las siguientes etapas del proceso de autenticación.
Servidor SMBv3 de Windows
SMBv3 hace referencia a la ejecución de un servidor de archivos SMB a través del protocolo QUIC, que es un protocolo de transporte relativamente nuevo. (Se introdujo en 2012 y se estandarizó en 2021. Como referencia, el TCP se introdujo en 1974 y se estandarizó en 1980). Está construido sobre UDP y admite multiplexación, cifrado y mucho más. Microsoft también está incorporando QUIC en Windows, que ya es compatible en muchos sentidos con sus versiones más recientes (Windows 11 y Windows Server 2025).
Con la CVE-2024-43447, un cliente malicioso puede activar una vulnerabilidad Double Free (DF) en el servidor SMBv3 de la víctima y, si consigue explotarla, ejecutar código de forma remota. Aunque las repercusiones pueden ser serias, el protocolo QUID no está muy generalizado, por lo que su alcance en el mundo real aún es bastante reducido. De hecho, en nuestras observaciones, vimos que solo el 8 % de los entornos emplean servidores con QUIC. De ese porcentaje ya reducido, aún menos entornos utilizan servidores SMBv3, ya que no están habilitados por defecto.
Los administradores de red afectados pueden restringir el tráfico de QUIC mediante segmentación, ya que se comunica a través del puerto UDP 443. Como alternativa, pueden desactivar la compatibilidad con QUIC en sus servidores de archivos SMB, si los tienen.
Además de esta vulnerabilidad, hay otra vulnerabilidad de DoS en el protocolo SMB: CVE-2024-43642.
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores, relativas a nuestras perspectivas sobre el Patch Tuesday en nuestro blog.
Servicio |
Número de CVE |
Efecto |
Acceso requerido |
---|---|---|---|
Suplantación |
Red, sin autenticar |
||
Ejecución remota de código |
Red |
||
Escalada de privilegios |
Local |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios. También puede seguirnos en X, anteriormente conocido como Twitter, para recibir actualizaciones en tiempo real.