Microsoft reveló el martes que dos fallas de seguridad que afectan a Windows NT LAN Manager (NTLM) y al Programador de tareas han sido explotadas activamente.

Las vulnerabilidades de seguridad se encuentran entre los 90 errores de seguridad que el gigante tecnológico abordó como parte de su actualización del martes de parches para noviembre de 2024. De las 90 fallas, cuatro están clasificadas como críticas, 85 están clasificadas como importantes y una está clasificada como moderada en gravedad. Cincuenta y dos de las vulnerabilidades parchadas son fallas de ejecución remota de código.

Las correcciones se suman a las 31 vulnerabilidades que Microsoft resolvió en su navegador Edge basado en Chromium desde el lanzamiento de la actualización del martes de parches de octubre de 2024. Las dos vulnerabilidades que se han enumerado como explotadas activamente se encuentran a continuación:

  • CVE-2024-43451 (puntuación CVSS: 6,5): vulnerabilidad de suplantación de identidad de divulgación de hash NTLM en Windows
  • CVE-2024-49039 (puntuación CVSS: 8,8): vulnerabilidad de elevación de privilegios en el Programador de tareas de Windows

«Esta vulnerabilidad revela el hash NTLMv2 de un usuario al atacante, que podría usarlo para autenticarse como el usuario», dijo Microsoft en un aviso para CVE-2024-43451, atribuyendo al investigador de ClearSky, Israel Yeshurun, el descubrimiento y reporte de la falla.

Vale la pena señalar que CVE-2024-43451 es la tercera falla después de CVE-2024-21410 (parchada en febrero) y CVE-2024-38021 (parchada en julio) que puede usarse para revelar el hash NTLMv2 de un usuario y ha sido explotada en la naturaleza solo este año.

«Los atacantes siguen empeñados en descubrir y explotar vulnerabilidades de día cero que puedan revelar hashes NTLMv2, ya que pueden usarse para autenticarse en sistemas y potencialmente moverse lateralmente dentro de una red para acceder a otros sistemas», dijo Satnam Narang, ingeniero de investigación sénior de Tenable, en un comunicado.

Por otro lado, CVE-2024-49039 podría permitir a un atacante ejecutar funciones de RPC que de otro modo estarían restringidas a cuentas privilegiadas. Sin embargo, Microsoft señala que para explotar esta vulnerabilidad con éxito es necesario que un atacante autenticado ejecute una aplicación especialmente diseñada en el sistema de destino para elevar primero sus privilegios a un nivel de integridad medio.

Vlad Stolyarov y Bahare Sabouri, del grupo de análisis de amenazas de Google (TAG), y un investigador anónimo han sido reconocidos por informar sobre la vulnerabilidad. Esto plantea la posibilidad de que la explotación de la falla en el día cero esté asociada con algún grupo alineado con un estado-nación o un actor de amenazas persistentes avanzadas (APT).

Por el momento no hay información sobre cómo se explotan las deficiencias en la naturaleza ni cuán extendidos son estos ataques, pero el desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) a agregarlas al catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ).

Una de las fallas de día cero que se han hecho públicas, pero que aún no se han explotado, es CVE-2024-49019 (puntuación CVSS: 7,8), una vulnerabilidad de escalada de privilegios en los servicios de certificados de Active Directory que podría aprovecharse para obtener privilegios de administrador de dominio. Los detalles de la vulnerabilidad, denominada EKUwu, fueron documentados por TrustedSec el mes pasado.

Otra vulnerabilidad notable es CVE-2024-43498 (puntuación CVSS: 9,8), un error crítico de ejecución remota de código en .NET y Visual Studio que un atacante remoto no autenticado podría explotar enviando solicitudes especialmente diseñadas a una aplicación web .NET vulnerable o cargando un archivo especialmente diseñado en una aplicación de escritorio vulnerable.

La actualización también corrige una falla crítica del protocolo criptográfico que afecta a Windows Kerberos ( CVE-2024-43639 , puntuación CVSS: 9.8) que un atacante no autenticado podría aprovechar para realizar una ejecución remota de código.

La vulnerabilidad mejor calificada en el lanzamiento de este mes es una falla de ejecución remota de código en Azure CycleCloud ( CVE-2024-43602 , puntuación CVSS: 9.9), que permite a un atacante con permisos de usuario básicos obtener privilegios de nivel raíz.

«La facilidad de explotación era tan simple como enviar una solicitud a un clúster vulnerable de AzureCloud CycleCloud para que modificara su configuración», dijo Narang. «A medida que las organizaciones continúan cambiando hacia el uso de recursos en la nube, la superficie de ataque se amplía como resultado».

Por último, un CVE no emitido por Microsoft que Redmond abordó es una falla de ejecución de código remoto en OpenSSL ( CVE-2024-5535 , puntuación CVSS: 9,1). Los mantenedores de OpenSSL la solucionaron originalmente en junio de 2024.

«Para explotar esta vulnerabilidad es necesario que un atacante envíe un enlace malicioso a la víctima por correo electrónico o que convenza al usuario de hacer clic en el enlace, normalmente mediante un incentivo en un correo electrónico o un mensaje de mensajería instantánea», afirmó Microsoft.

«En el peor de los casos, un atacante podría enviar un correo electrónico especialmente diseñado al usuario sin exigirle que abra, lea o haga clic en el enlace. Esto podría provocar que el atacante ejecute código remoto en la máquina de la víctima».

Coincidiendo con la actualización de seguridad de noviembre, Microsoft también anunció la adopción de Common Security Advisory Framework (CSAF), un estándar OASIS para revelar vulnerabilidades en formato legible por máquinas, para todos los CVE con el fin de acelerar los esfuerzos de respuesta y remediación.

«Los archivos CSAF están pensados ​​para que los consuman las computadoras más que los humanos, por lo que estamos agregando archivos CSAF como un complemento a nuestros canales de datos CVE existentes en lugar de como un reemplazo», dijo la compañía . «Este es el comienzo de un viaje para continuar aumentando la transparencia en torno a nuestra cadena de suministro y las vulnerabilidades que abordamos y resolvemos en toda nuestra cadena de suministro, incluido el software de código abierto integrado en nuestros productos».

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para corregir varias vulnerabilidades, entre ellas:

  • Adobe
  • Servicios web de Amazon
  • AMD
  • Manzana
  • Asus
  • Atlassiano
  • Bosch
  • Broadcom (incluido VMware)
  • Cisco
  • Citrix
  • Código de SIS
  • Enlace D
  • Dell
  • Drupal
  • F5
  • Fortinet
  • Fortaleza
  • GitLab
  • Google Android y Pixel
  • Google Chrome
  • Nube de Google
  • Sistema operativo Google Wear
  • Hikvision
  • Energía Hitachi
  • Redes HMS
  • caballos de fuerza
  • HP Enterprise (incluida red Aruba)
  • IBM
  • Intel
  • Ivanti
  • Redes Juniper
  • Lenovo
  • Distribuciones de Linux Amazon Linux , Debian , Oracle Linux , Red Hat , Rocky Linux , SUSE y Ubuntu
  • MediaTek
  • Mitel
  • Mitsubishi Eléctrico
  • Mozilla Firefox, Firefox ESR y Thunderbird
  • NETGEAR
  • NVIDIA
  • Octa
  • Redes de Palo Alto
  • Software de progreso
  • QNAP
  • Qualcomm
  • Automatización Rockwell
  • Samsung
  • SAVIA
  • Schneider Electric
  • Siemens
  • Vientos solares
  • Splunk
  • Marco de primavera
  • Sinología
  • TP-Link
  • Microtendencia
  • Veeam
  • Veritas
  • Zimbra
  • Zoom y
  • Zyxel

Fuente y redacción: thehackernews.com

Compartir