En este martes de parches de abril de 2024, Microsoft solucionó un récord de 147 vulnerabilidades numeradas CVE, incluida CVE-2024-29988, una vulnerabilidad que Microsoft no ha marcado como explotada, pero Peter Girnus, investigador senior de amenazas de la Iniciativa de Día Cero de Trend Micro ( ZDI), ha descubierto que está siendo aprovechado por atacantes en la naturaleza.
«Los actores de amenazas envían exploits en un archivo comprimido para evadir la detección de EDR/NDR y luego utilizan este error (y otros) para evitar MotW», señala Dustin Childs, jefe de concientización sobre amenazas en ZDI.
CVE-2024-29988 también ha sido informado por Dmitrij Lenz y Vlad Stolyarov del Grupo de Análisis de Amenazas de Google, lo que significa que es muy probable una explotación activa, a pesar de no haber sido reconocida por Microsoft.
«CVE-2024-29988 se atribuye a algunos de los mismos investigadores que revelaron una falla similar en febrero (CVE-2024-21412) que fue explotada como un día cero», dice Satnam Narang, ingeniero senior de investigación de Tenable.
“La ingeniería social a través de medios directos (correo electrónico y mensajes directos) que requiere algún tipo de interacción del usuario es una ruta típica de explotación para este tipo de fallas. CVE-2024-21412 se utilizó como parte de una campaña DarkGate que aprovechaba instaladores de software falsos que se hacían pasar por iTunes, Notion, NVIDIA y más de Apple”.
Otras vulnerabilidades destacables
Childs insta a los usuarios que ejecutan servidores DNS de Windows a implementar parches para siete fallas de ejecución remota de código (CVE-2024-26221-CVE-2024-26224, CVE-2024-26227, CVE-2024-26231 y CVE-2024-26233) lo antes posible. más tarde, a pesar de que interviene un factor de tiempo para una explotación exitosa.
Microsoft ha solucionado 24 vulnerabilidades que pueden permitir a los atacantes evitar el arranque seguro de Windows, una característica de seguridad que tiene como objetivo evitar que se cargue malware cuando se inician las PC.
Narang señaló que, aunque Microsoft considera que su explotación es “menos probable”, la última vez que Microsoft corrigió una falla en el arranque seguro de Windows (CVE-2023-24932) en mayo de 2023 tuvo un impacto notable, ya que fue explotada en estado salvaje y vinculada al Kit de arranque UEFI BlackLotus.
«El parche corrige los errores [de arranque seguro], pero las protecciones no están habilitadas de forma predeterminada», agregó Childs . Los usuarios deben consultar este documento y habilitarlos.
También destacó CVE-2024-20678 , una falla RCE autenticada en tiempo de ejecución de llamada a procedimiento remoto (RCP), y CVE-2024-20670 , una vulnerabilidad de Outlook para Windows que puede permitir a los atacantes recolectar hashes NTLM (autenticación) de los usuarios, como Es probable que sea atacado por atacantes en los próximos meses y, por lo tanto, debería parchearse rápidamente.
Finalmente, hay parches para varios errores críticos e importantes de Microsoft Defender para IoT, así como un interesante error de divulgación de información en Azure AI Search ( CVE-2024-29063 ) que podría permitir a los atacantes obtener claves API confidenciales.
“La vulnerabilidad ha sido mitigada por una actualización reciente de la infraestructura backend de Azure AI Search. Los clientes que deben rotar credenciales específicas han sido notificados a través de alertas de estado del servicio de Azure en TrackingID: WL1G-3TZ”, dijo Microsoft. «Los clientes que no recibieron esta alerta de estado del servicio Azure no necesitan realizar ninguna acción para estar protegidos contra esta vulnerabilidad».
¿Deberían los defensores priorizar la reparación de las fallas de EoP?
Narang comentó que 2024 ha sido un año inusualmente tranquilo en términos de días cero.
«Es difícil determinar por qué hemos visto esta disminución, si se trata simplemente de una falta de visibilidad o si significa una tendencia en la que los atacantes utilizan vulnerabilidades conocidas como parte de sus ataques a las organizaciones», comentó.
Otra cosa interesante señalada recientemente por SonicWall Capture Labs es que a pesar de que los errores de RCE recibieron más atención por parte de los defensores, en 2023 los atacantes explotaron las vulnerabilidades de día cero de elevación de privilegios (EoP) de Microsoft con más frecuencia que los RCE.
«Estamos viendo que los atacantes prefieren el phishing a los exploits específicos de Microsoft para la entrada inicial y, posteriormente, prefieren explotar las vulnerabilidades de privilegios de Microsoft para mejorar su acceso», señalaron los investigadores .
Además, después de los martes de parches de 2023, CISA agregó solo cuatro vulnerabilidades de Microsoft (aparte de los días cero explotados) a su catálogo de vulnerabilidades explotadas conocidas: tres EoP y una omisión de característica de seguridad.
«Al considerar estos dos puntos de datos, es razonable concluir que, para las organizaciones que analizan una lista grande de vulnerabilidades de Microsoft, la categoría de elevación de privilegios debería tener más peso en la priorización que el índice explotable u otros tipos de vulnerabilidades», señaló SonicWall. afuera.
«Si bien las vulnerabilidades de elevación de privilegios pueden recibir una puntuación CVSS y de probabilidad de explotabilidad más baja, a menudo son las más atractivas para los actores de amenazas porque llenan un vacío crítico en su manual».
Fuente y redacción: helpnetsecurity.com
