La perspectiva de Akamai sobre el Patch Tuesday de octubre de 2024
Es un nuevo mes y tenemos un montón de CVE, pero, a diferencia de los dulces, no podemos repartirlas a niños disfrazados. Este mes, hay 117 CVE en total en 60 componentes diferentes. De ellas, tres son críticas, dos fueron observadas en su entorno natural y una la encontramos nosotros.
En esta publicación de blog, analizaremos la importancia de las vulnerabilidades y cómo de comunes son las aplicaciones y los servicios afectados para ofrecer una visión realista de los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe continuo y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
Este mes, nos centramos en las áreas en las que se han aplicado parches a los errores:
Vulnerabilidades detectadas en el mundo real
CVE-2024-43572 — Microsoft Management Console (CVSS 7,8)
Microsoft Management Console (mmc.exe) es una interfaz gráfica para varios componentes.
El Visor de eventos de Windows, el Administrador de servicios y el Programador de tareas se implementan como complementos para Microsoft Management Console, entre otros.
Los complementos son también archivos con la extensión .msc, que indican a Management Console qué mostrar y qué capacidades ofrecer. (Por ejemplo, cuando se ejecuta el Visor de eventos, se ejecuta realmente mmc.exe eventvwr.msc entre bastidores).
La vulnerabilidad parece estar asociada a la carga de archivos .msc que no son de confianza. Un manejo inadecuado probablemente conduce a una ejecución remota de código (RCE). Por supuesto, "remoto" en este caso se refiere a la distancia entre el atacante y la víctima. La víctima tendría que descargar y abrir un archivo .msc malicioso para activar la vulnerabilidad. Además de corregir el RCE, el parche de este mes también incluye una corrección que impide que se carguen archivos .msc que no sean de confianza.
CVE-2024-43573 — Plataforma MSHTML de Windows (CVSS 6,5)
MSHTML es un cargador de sitios web para el sistema operativo Windows. Este expone una interfaz de Modelo de objetos componentes (COM) que permite que los programas añadan funciones de carga web. Se utiliza en Internet Explorer, el modo de Internet Explorer de Microsoft Edge, Microsoft Outlook y otros programas.
En el pasado se han detectado varias vulnerabilidades en la plataforma MSHTML (incluidas algunas que han detectado los investigadores de Akamai) y es un objetivo de explotación atractivo para los atacantes debido a su capacidad para eludir los mecanismos de defensa y al hecho de que es una función integrada en Windows.
Vulnerabilidades descubiertas por los investigadores de Akamai
CVE-2024-43532 — Servicio de registro remoto (CVSS 8,8)
El Servicio de registro remoto de Windows permite la interacción con el Registro de Windows entre equipos remotos y se implementa a través del protocolo Llamada a procedimiento remoto (RPC). La CVE-2024-43532 fue encontrada por un investigador de Akamai, Stiv Kupchik, y publicada en febrero de 2024.
La vulnerabilidad existe en realidad en el lado de cliente de la implementación RPC del Registro remoto, en las funciones RegConnectRegistry y RegConnectRegistryEx. La causa principal es un mecanismo de reversión en los transportes RPC. Aunque el tráfico del Registro remoto se controla normalmente a través de canales con nombre SMB, la implementación del cliente contiene un mecanismo de reversión a TCP en caso de que el canal con nombre no esté disponible. Y a diferencia del tráfico SMB, que utiliza autenticación y cifrado seguros, el tráfico TCP se autentica sin comprobaciones de integridad o cifrado, lo que lo hace vulnerable a los ataques de retransmisión NTLM.
Presentaremos esta vulnerabilidad en la conferencia No Hat 2024, así que puede visitar la conferencia para escucharlo en directo o leer la entrada de nuestro blog que publicaremos después del evento.
Configuration Manager de Microsoft
Configuration Manager de Microsoft forma parte de la familia de software Intune y está diseñado para ayudar a los administradores de TI a configurar y gestionar un gran número de equipos y servidores Windows.
Hay varios componentes en una configuración de Configuration Manager, pero el que nos interesa es su base de datos SQL. Según las notas de la CVE-2024-43468y su ID de debilidad, la explotación satisfactoria de la vulnerabilidad permite ejecutar comandos en su base de datos (y, en el caso de una instalación monolítica de un solo servidor, también en el servidor principal de Configuration Manager).
Debido a que existen parches tanto para Configuration Manager como para su aplicación de consola, es probable que el problema sea que los valores que introduce en el servidor no se sanean ni validan antes de pasar a la base de datos (en lugar de un problema con la seguridad de la propia base de datos). Por lo tanto, no es probable que la simple protección de la base de datos mediante segmentación reduzca el impacto de esta vulnerabilidad, aunque es una buena medida de seguridad.
Es posible detectar las instalaciones de Configuration Manager a través de la siguiente osquery:
SELECT display_name, status, start_type, path FROM services WHERE name='SMS_Executive’
Escritorio remoto de Windows
El escritorio remoto de Windows se utiliza para conectar de forma remota los escritorios de equipos Windows a través del protocolo de escritorio remoto (RDP). Este mes existen varias vulnerabilidades en diferentes componentes del Escritorio remoto de Windows, por lo que las analizaremos todas juntas.
La principal es, por supuesto, CVE-2024-43582 : una vulnerabilidad crítica de RCE en el servicio del lado del servidor. Un atacante "solo" necesita conectarse a un servidor RDP, enviar correo no deseado con paquetes mal formados y ganar una condición de carrera, que luego se puede aprovechar para un RCE.
Como el RDP es muy común en redes y se puede utilizar para movimiento lateral, recomendamos crear las reglas de políticas pertinentes que lo cubran. Según nuestras observaciones, el 89 % de las redes tenía tráfico RDP de Windows y el 73 % de las redes tenía el tráfico sin restricciones.
Restringir el acceso a RDP a los equipos de los usuarios, o bien solo a servidores preautorizados (como soluciones de salto), puede reducir en gran medida el riesgo que suponen estas vulnerabilidades. Hemos cubierto algunos logros rápidos en relación con el RDP en nuestra entrada de blog de segmentación. Independientemente de la política, le recomendamos que aplique parches lo antes posible.
Componente |
Número de CVE |
Puntuación CVSS |
Efecto |
|---|---|---|---|
Servidor de protocolos de escritorio remoto (RDP) |
8,1 |
Ejecución remota de código |
|
Servicio de licencias del escritorio remoto de Windows |
7,5 |
||
Cliente de escritorio remoto |
8,8 |
||
8,8 |
|||
Servicios de escritorio remoto de Windows |
4,8 |
Manipulación |
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores, relativas a nuestras perspectivas sobre el Patch Tuesday en nuestro blog.
Servicio |
Número de CVE |
Efecto |
Acceso requerido |
|---|---|---|---|
Escalada de privilegios |
Red, autenticada |
||
Divulgación de información |
Red |
||
Ejecución remota de código |
Local, requiere ingeniería social o phishing |
||
Ejecución remota de código |
Red |
||
Escalada de privilegios |
Local |
||
Ejecución remota de código |
Red |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios. También puede seguirnos en X, anteriormente conocido como Twitter, para recibir actualizaciones en tiempo real.