CVE-2024-49138 explotado por atacantes
CVE-2024-49138 se deriva de una vulnerabilidad de desbordamiento de búfer basada en montón en el controlador del Sistema de archivos de registro común de Windows (CLFS) y puede ser explotada por atacantes para elevar sus privilegios en el host de destino a SISTEMA, según Microsoft .
El vector de ataque es local, lo que significa que los atacantes pueden explotarlo accediendo al sistema de destino de forma local (a través del teclado o la consola) o de forma remota (por ejemplo, a través de SSH). Alternativamente, pueden engañar a los usuarios legítimos para que realicen acciones que desencadenen el exploit (por ejemplo, abrir un documento malicioso).
La vulnerabilidad, reportada a Microsoft por el Equipo de Investigación Avanzada de CrowdStrike, ha sido explotada por atacantes.
«Aunque todavía no se conocen los detalles de la explotación en vivo, al mirar atrás en el historial de vulnerabilidades del controlador CLFS, es interesante notar que los operadores de ransomware han desarrollado una inclinación por explotar fallas de elevación de privilegios de CLFS en los últimos años», dijo Satnam Narang, ingeniero de investigación sénior de personal en Tenable, a Help Net Security.
«Dado que se trata de una escalada de privilegios, es probable que se combine con un error de ejecución de código para tomar el control de un sistema. Estas tácticas suelen observarse en ataques de ransomware y en campañas de phishing dirigidas», señaló Dustin Childs, director de concienciación sobre amenazas en la Zero Day Initiative de Trend Micro.
Microsoft ha parcheado otros dos fallos de elevación de privilegios en el controlador del sistema de archivos de registro común de Windows este martes, pero no están bajo explotación activa (aunque su explotación es “más probable”, por lo que también hay que parchearlos).
Otras vulnerabilidades que se deben parchar rápidamente
Childs también insta a los usuarios a parchar rápidamente CVE-2024-49112 , una vulnerabilidad en el Protocolo ligero de acceso a directorios (LDAP) de Windows que puede ser explotada por atacantes remotos no autenticados mediante el envío de un conjunto especialmente diseñado de llamadas LDAP.
“LDAP se ve más comúnmente en servidores que son controladores de dominio dentro de una red de Windows y LDAP debe estar expuesto a otros servidores y clientes dentro de un entorno empresarial para que el dominio funcione”, dijo Rob Reeves, ingeniero de seguridad principal de Immersive Labs a Help Net Security.
“Microsoft no ha publicado información específica sobre la vulnerabilidad por el momento, pero ha indicado que la complejidad del ataque es baja y no se requiere autenticación”.
Como mitigación (en caso de que sea imposible aplicar la actualización), Microsoft recomienda a las organizaciones configurar los controladores de dominio para que no accedan a Internet o para que no permitan conexiones RPC entrantes desde redes que no sean de confianza.
Entre las vulnerabilidades que tienen “más probabilidades” de ser explotadas se encuentran CVE-2024-49114 , una falla EoP del controlador de minifiltro de Windows Cloud Files, y CVE-2024-49093 , una vulnerabilidad EoP en el sistema de archivos resiliente de Windows.
“Las notas del parche [para CVE-2024-49114] tienen sorprendentes similitudes con otras vulnerabilidades reportadas en el mismo componente que están siendo explotadas activamente y aparecieron en la lista de vulnerabilidades explotadas conocidas de CISA a fines de 2023”, comentó Breen, y señaló que un exploit probado y efectivo con ejemplos públicos existentes podría permitir a los atacantes convertir esta vulnerabilidad en un arma más rápidamente.
Fuente y redacción: helpnetsecurity.com
