Microsoft corrige 90 nuevas vulnerabilidades, incluidas fallas activamente explotadas en NTLM y el Programador de Tareas

XPoint
Publicado el 13/11/2024

Microsoft reveló este martes que dos vulnerabilidades de seguridad en el Administrador de Red Local de Windows (NTLM) y el Programador de Tareas han sido explotadas activamente en entornos reales. Estas vulnerabilidades se encuentran entre las 90 fallas de seguridad que el gigante tecnológico abordó como parte de su actualización Patch Tuesday de noviembre de 2024. De estas, cuatro están calificadas como críticas, 85 como importantes y una como moderada en gravedad, con 52 de ellas relacionadas con la ejecución de código remoto.

Las soluciones incluyen dos vulnerabilidades activamente explotadas:

CVE-2024-43451 (puntaje CVSS: 6.5): Vulnerabilidad de suplantación que permite la divulgación de hashes de NTLM en Windows.

CVE-2024-49039 (puntaje CVSS: 8.8): Vulnerabilidad de escalamiento de privilegios en el Programador de Tareas de Windows.

Microsoft explicó que la primera vulnerabilidad podría permitir que un atacante revele el hash NTLMv2 de un usuario y lo utilice para autenticarse como él, mientras que la segunda permitiría a un atacante ejecutar funciones RPC restringidas en cuentas privilegiadas. No se sabe cómo están siendo explotadas exactamente estas fallas, aunque su inclusión en el catálogo de Vulnerabilidades Conocidas (KEV) de CISA sugiere que representan una amenaza significativa.

Una de las fallas de día cero publicadas, pero aún no explotadas, es la CVE-2024-49019 (puntaje CVSS: 7.8), una vulnerabilidad de escalamiento de privilegios en Active Directory Certificate Services que podría aprovecharse para obtener privilegios de administrador de dominio. Los detalles de esta vulnerabilidad, denominada EKUwu, fueron documentados el mes pasado por TrustedSec.

Otra vulnerabilidad destacada es la CVE-2024-43498 (puntaje CVSS: 9.8), una falla crítica de ejecución de código remoto en .NET y Visual Studio que un atacante remoto no autenticado podría explotar enviando solicitudes especialmente diseñadas a una aplicación web .NET vulnerable o cargando un archivo malicioso en una aplicación de escritorio vulnerable.

La actualización también corrige una falla crítica en el protocolo de criptografía en Windows Kerberos (CVE-2024-43639, puntaje CVSS: 9.8) que podría ser utilizada por un atacante no autenticado para ejecutar código de manera remota.

La vulnerabilidad más grave en esta actualización mensual es una falla de ejecución de código remoto en Azure CycleCloud (CVE-2024-43602, puntaje CVSS: 9.9), que permite a un atacante con permisos de usuario básicos obtener privilegios de nivel root.

“La facilidad de explotación era tan simple como enviar una solicitud a un clúster vulnerable de Azure CycleCloud que modificaría su configuración”, dijo Narang. “A medida que las organizaciones continúan utilizando recursos en la nube, la superficie de ataque se amplía en consecuencia”.

Por último, una vulnerabilidad en OpenSSL que no fue emitida por Microsoft, pero sí abordada por Redmond, es una falla de ejecución de código remoto (CVE-2024-5535, puntaje CVSS: 9.1). Esta vulnerabilidad fue originalmente parcheada por los administradores de OpenSSL en junio de 2024.

“La explotación de esta vulnerabilidad requiere que un atacante envíe un enlace malicioso a la víctima por correo electrónico o que convenza al usuario de hacer clic en el enlace, normalmente mediante un incentivo en un mensaje de correo electrónico o de mensajería instantánea”, dijo Microsoft.

“En el peor de los casos de un ataque por correo electrónico, un atacante podría enviar un correo electrónico especialmente diseñado al usuario sin que se requiera que la víctima abra, lea o haga clic en el enlace. Esto podría permitir al atacante ejecutar código remoto en la máquina de la víctima”.

Coincidiendo con la actualización de seguridad de noviembre, Microsoft también anunció su adopción del Common Security Advisory Framework (CSAF), un estándar OASIS para la divulgación de vulnerabilidades en un formato legible por máquina, con el fin de acelerar los esfuerzos de respuesta y remediación.

 

Actualizaciones de software de otros proveedores

 

Además de Microsoft, otros proveedores han lanzado actualizaciones de seguridad en las últimas semanas para corregir varias vulnerabilidades, incluidas las siguientes:

Adobe, Amazon Web Services, AMD, Apple, ASUS, Atlassian, Bosch, Broadcom (incluyendo VMware), Cisco, Citrix, CODESYS, D-Link, Dell, Drupal, F5, Fortinet, Fortra, GitLab, Google Android y Pixel, Google Chrome, Google Cloud, Google Wear OS, Hikvision, Hitachi Energy, HMS Networks, HP, HP Enterprise (incluido Aruba Networking), IBM, Intel, Ivanti, Juniper Networks, Lenovo, Linux distributions Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, y Ubuntu, MediaTek, Mitel, Mitsubishi Electric, Mozilla Firefox, Firefox ESR, y Thunderbird, NETGEAR, NVIDIA, Okta, Palo Alto Networks, Progress Software, QNAP, Qualcomm, Rockwell Automation, Samsung, SAP, Schneider Electric, Siemens, SolarWinds, Splunk, Spring Framework, Synology, TP-Link, Trend Micro, Veeam, Veritas, Zimbra, Zoom y Zyxel.

 


 

English

Microsoft Fixes 90 New Vulnerabilities, Including Actively Exploited NTLM and Task Scheduler Flaws

 

On Tuesday, Microsoft disclosed that two security vulnerabilities impacting Windows NT LAN Manager (NTLM) and Task Scheduler have been actively exploited in real-world environments. These vulnerabilities are among the 90 security flaws the tech giant addressed as part of its November 2024 Patch Tuesday update. Of these, four are rated Critical, 85 are rated Important, and one is rated Moderate in severity, with 52 of them relating to remote code execution.

The updates include two vulnerabilities that have been actively exploited:

CVE-2024-43451 (CVSS score: 6.5): Windows NTLM Hash Disclosure Spoofing Vulnerability.

CVE-2024-49039 (CVSS score: 8.8): Windows Task Scheduler Privilege Escalation Vulnerability.

Microsoft explained that the first vulnerability could allow an attacker to expose a user’s NTLMv2 hash and use it for authentication as that user, while the second would enable an attacker to execute restricted RPC functions on privileged accounts. While details about the exact exploitation methods remain unclear, CISA has added these flaws to its Known Exploited Vulnerabilities (KEV) catalog, underscoring their threat level.

One of the disclosed, but not yet exploited, zero-day vulnerabilities is CVE-2024-49019 (CVSS score: 7.8), a privilege escalation vulnerability in Active Directory Certificate Services that could be used to gain domain admin privileges. Details of this vulnerability, dubbed EKUwu, were documented last month by TrustedSec.

Another critical vulnerability of note is CVE-2024-43498 (CVSS score: 9.8), a remote code execution flaw in .NET and Visual Studio, which could be exploited by a remote unauthenticated attacker by sending specially crafted requests to a vulnerable .NET web app or loading a malicious file into a vulnerable desktop app.

The update also addresses a critical cryptographic protocol flaw in Windows Kerberos (CVE-2024-43639, CVSS score: 9.8), which could allow an unauthenticated attacker to perform remote code execution.

The highest-rated vulnerability in this month’s release is a remote code execution flaw in Azure CycleCloud (CVE-2024-43602, CVSS score: 9.9), which permits an attacker with basic user permissions to gain root-level privileges.

“The ease of exploitation was as simple as sending a request to a vulnerable Azure CycleCloud cluster that would modify its configuration,” Narang said. “As organizations continue shifting to cloud resources, the attack surface inevitably broadens.”

Lastly, a non-Microsoft-issued CVE addressed by Microsoft is a remote code execution vulnerability in OpenSSL (CVE-2024-5535, CVSS score: 9.1). This vulnerability was originally patched by OpenSSL maintainers in June 2024.

“Exploitation of this vulnerability requires an attacker to send a malicious link to the victim via email or convince the user to click it, typically through an enticement in an email or instant message,” Microsoft noted.

“In a worst-case email attack scenario, an attacker could send a specially crafted email to the user without the victim needing to open, read, or click the link, allowing the attacker to execute remote code on the victim’s machine.”

Coinciding with the November security update, Microsoft also announced its adoption of the Common Security Advisory Framework (CSAF), an OASIS standard for disclosing vulnerabilities in machine-readable form, to accelerate response and remediation efforts.

 

Software Updates from Other Vendors

 

Alongside Microsoft, other vendors have released security updates over the past few weeks to address various vulnerabilities, including:

Adobe, Amazon Web Services, AMD, Apple, ASUS, Atlassian, Bosch, Broadcom (including VMware), Cisco, Citrix, CODESYS, D-Link, Dell, Drupal, F5, Fortinet, Fortra, GitLab, Google Android and Pixel, Google Chrome, Google Cloud, Google Wear OS, Hikvision, Hitachi Energy, HMS Networks, HP, HP Enterprise (including Aruba Networking), IBM, Intel, Ivanti, Juniper Networks, Lenovo, Linux distributions Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, and Ubuntu, MediaTek, Mitel, Mitsubishi Electric, Mozilla Firefox, Firefox ESR, and Thunderbird, NETGEAR, NVIDIA, Okta, Palo Alto Networks, Progress Software, QNAP, Qualcomm, Rockwell Automation, Samsung, SAP, Schneider Electric, Siemens, SolarWinds, Splunk, Spring Framework, Synology, TP-Link, Trend Micro, Veeam, Veritas, Zimbra, Zoom, and Zyxel.

Preguntas frecuentes

¿Para que sirve el Pentesting?

+

El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos