Perspectiva de Akamai sobre el Patch Tuesday de septiembre de 2024
¡La vuelta al cole ya está aquí! Nuestro principal objetivo: el análisis de CVE. Como cada mes, el grupo de inteligencia sobre seguridad de Akamai ha analizado las vulnerabilidades más intrigantes a las que se han aplicado parches.
En esta publicación de blog, analizaremos la importancia de las vulnerabilidades y cómo de comunes son las aplicaciones y los servicios afectados para ofrecer una visión realista de los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe continuo y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
Este mes nos centraremos en las áreas siguientes en las que se han aplicado parches a los errores
Vulnerabilidades detectadas en el mundo real
CVE-2024-43491 — Microsoft Windows Update (CVSS 9.8)
Un problema con el número de compilación de la actualización de seguridad de marzo provocó un error en la parte de Windows Update que gestiona componentes opcionales. Esto hizo que Windows Update determinara que las actualizaciones posteriores no se podían aplicar y revirtiera esos componentes a sus versiones base.
Según Microsoft, el error de Windows Update no se explotó públicamente, pero algunos de los componentes afectados sí habían explotado vulnerabilidades públicamente, de ahí las categorizaciones.
Para tratar esta CVE, debe instalar ambas actualizaciones de seguridad KB5043083 y la actualización de la pila de servicio KB5043936.
Los componentes afectados son:
Servicios de directorio ligeros de Active Directory
Herramientas administrativas
ASP.NET 4.6
Internet Explorer 11
Servicios de información de Internet
Servicio de impresión LPD
Núcleo del servidor de Microsoft Message Queue (MSMQ)
Compatibilidad con HTTP de MSMQ
Conector multipunto
Compatibilidad con el uso compartido de archivos SMB 1,0/CIFS
Fax y escáner de Windows
Reproductor de Windows Media
Cliente de carpetas de trabajo
Visor XPS
Puede comprobar si alguno de esos componentes está habilitado en su equipo mediante la siguiente OSQuery:
SELECT
name, caption, statename
FROM
windows_optional_features
WHERE
caption IN (
'Active Directory Lightweight Directory Services',
'Administrative Tools',
'ASP.NET 4.6',
'Internet Explorer 11',
'Internet Information Services',
'LPD Print Service',
'Microsoft Message Queue (MSMQ) Server Core',
'MSMQ HTTP Support',
'MultiPoint Connector',
'SMB 1.0/CIFS File Sharing Support',
'Windows Fax and Scan',
'Windows Media Player',
'Work Folders Client',
'XPS Viewer'
)
AND state = 1
CVE-2024-38014 — Instalador de Windows (CVSS 7.8)
El instalador de Windows (msiexec.exe) es el componente de Windows responsable de administrar e instalar los archivos .msi. No hay muchos detalles sobre esta vulnerabilidad. Sin embargo, dado que una explotación satisfactoria genera privilegios del SISTEMA, el problema podría estar relacionado con el servicio del Instalador de Windows (que también apunta a msiexec) y no solo con el archivo binario.
CVE-2024-38226 — Funciones de seguridad de Microsoft Publisher (CVSS 7,3)
Las funciones de seguridad de Microsoft Publisher están diseñadas para proteger a los usuarios de documentos dañinos y malintencionados de Microsoft Office. Los atacantes pueden incrustar elementos maliciosos de código, en forma de macros, en documentos de Office. Las funciones de seguridad de Publisher impiden la ejecución automática de macros y, en su lugar, presentan a los usuarios un mensaje emergente para confirmar su ejecución.
CVE-2024-38226 es una omisión de esas protecciones, lo que permite que el código malicioso se ejecute automáticamente cuando se abre el documento.
CVE-2024-38217 — Windows Mark of the Web (CVSS 5.4)
Por segundo mes consecutivo, hay una omisión de Mark of the Web. Mark of the Web es la función de seguridad responsable de marcar los archivos potencialmente peligrosos descargados de Internet, lo que activa la advertencia de seguridad de SmartScreen al abrirlos. Esta omisión no tiene en cuenta esta advertencia. La vulnerabilidad requiere que el atacante cree un archivo de una forma específica que hará que Windows SmartScreen no lo compruebe y, por lo tanto, omita la pantalla de advertencia.
El mes pasado no fue la primera vez que los atacantes explotaban activamente las vulnerabilidades de omisión de SmartScreen. Los parches de noviembre de 2023 y febrero de 2024 también incluían correcciones para las vulnerabilidades de omisión que se notificaron como explotadas activamente.
Además de las CVE explotadas en su entorno natural, este mes se solucionó otra, CVE-2024-43487, con una puntuación de CVSS de 6,5.
Microsoft SharePoint es un sistema de gestión y almacenamiento de documentos basado en la Web que se integra con otros productos de Microsoft Office. Este mes hay cinco CVE, dos vulnerabilidades críticas de ejecución remota de código (RCE) con una puntuación de CVSS de 8,8 (CVE-2024-38018) y 7,2 (CVE-2024-43464). Hay otras dos vulnerabilidades más de RCE y una CVE de denegación de servicio (DoS).
CVE-2024-38018 requiere que los atacantes se autentiquen en el servidor de SharePoint con una cuenta que tenga permisos de miembro del sitio como mínimo. No hay información sobre lo que el atacante tiene que hacer para activar la ejecución de código.
CVE-2024-43464, CVE-2024-38227y CVE-2024-38228 requieren permisos de propietario del sitio. Además, requieren que se cargue un archivo especialmente diseñado y se acceda a él mediante una solicitud de API. Esto desencadenaría una deserialización de los parámetros de archivo y provocaría la inyección de código en el proceso del servidor de SharePoint.
En nuestras observaciones, hemos visto que aproximadamente el de los entornos tenían al menos un equipo con un servidor de SharePoint instalado.
Puesto que los servidores de SharePoint se suelen utilizar para compartir documentos, puede ser difícil segmentar o limitar el acceso de los usuarios a ellos sin dañar las operaciones normales. Por lo tanto, le recomendamos que aplique parches a su servidor lo antes posible.
No obstante, como ambas CVE de RCE requieren autenticación del usuario, sería posible mitigar algunos de los riesgos reforzando el acceso de los usuarios o aumentando la sensibilidad de las alertas sobre la actividad o los inicios de sesión sospechosos de los usuarios.
Traducción de direcciones de red (NAT) de Windows
La traducción de direcciones de red (NAT) es una forma de conexión que asigna varias direcciones IP detrás de una sola dirección IP. Su uso principal es la separación de redes al poner el rango de IP de la red interna detrás de una única IP externa.
Este mes, CVE-2024-38119 es una vulnerabilidad de RCE crítica en NAT de Windows, que requiere obtener una condición de carrera para explotarla correctamente. No está claro qué componente específico de Windows es responsable de la NAT y, dado que la NAT se produce antes que la pila de red típica, es posible que no se pueda mitigar mediante segmentación. Por lo tanto, recomendamos la aplicación de parches como única medida de mitigación.
Servidor Microsoft SQL
Este mes. hay 13 CVE en el servidor Microsoft SQL Server (MSSQL). Nueve de ellas corresponden a la función de puntuación nativa de MSSQL (que es una función de aprendizaje automático para predecir los valores de los datos basados en modelos entrenados previamente); de esas nueve, seis son RCE. Ademças, hay otras cuatro CVE en el servidor MSSQL nativo.
Dado que los servidores SQL suelen contener información confidencial, deben segmentarse y tener restricciones de control de acceso para evitar incidentes de robo de datos. Si no tiene políticas de este tipo, es una buena oportunidad para ponerlas en práctica. Mapee los servidores MSSQL existentes (buscando el servicio MSSQL o buscando conexiones a través de los puertos 1433 y 1434).
Después de mapear los servidores existentes, cree políticas de segmentación basadas en el tráfico existente y otros segmentos que deberían tener acceso (de TI a todos, de finanzas a finanzas, etc.). También es una buena oportunidad para ver quién se porta mal y accede a bases de datos que no debería tocar.
Según nuestras observaciones, el 75% de las redes tienen servidores MSSQL.
Servicio |
Número de CVE |
Efecto |
|---|---|---|
Puntuación nativa del servidor Microsoft SQL |
Ejecución remota de código |
|
Divulgación de información |
||
Servidor Microsoft SQL |
||
Escalada de privilegios |
||
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores, relativas a nuestras perspectivas sobre el Patch Tuesday en nuestro blog.
Servicio |
Número de CVE |
Efecto |
Acceso requerido |
|---|---|---|---|
Denegación de servicio |
Red |
||
Escalada de privilegios |
Red |
||
Ejecución remota de código |
Red, con el servicio NetNAT activado |
||
Suplantación |
Red |
||
Ejecución remota de código |
Red, cualquier usuario autenticado |
||
Divulgación de información |
Red |
||
Denegación de servicio |
|||
Suplantación |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios. También puede seguirnos en X, anteriormente conocido como Twitter, para recibir actualizaciones en tiempo real..