Microsoft insta a los usuarios de Windows a actualizar sus sistemas inmediatamente después de confirmar cuatro nuevas vulnerabilidades de día cero como parte de su parche de seguridad de noviembre. Entre los más de 90 problemas de seguridad reportados, dos de estos días cero están siendo explotados activamente, lo que plantea riesgos importantes para los usuarios.
Comprender las vulnerabilidades de día cero
Microsoft tiene una perspectiva única sobre lo que constituye una amenaza de día cero, considerando tanto las vulnerabilidades que se divulgan públicamente como aquellas que están siendo atacadas activamente. Como se destaca en el lanzamiento del martes de parches de noviembre de 2024, dos de las cuatro vulnerabilidades identificadas se están explotando actualmente.
CVE-2024-43451 es particularmente notable; Se trata de una vulnerabilidad de suplantación de divulgación de hash de NT LAN Manager que podría exponer el protocolo de autenticación NTLM. Según Ryan Braunstein, líder del equipo de operaciones de seguridad de Automox, la falla requiere la interacción del usuario para ser explotada. Específicamente, los usuarios deben abrir un archivo manipulado enviado mediante intentos de phishing para que el ataque tenga éxito. Cuando se ve comprometida, esta vulnerabilidad permite a los atacantes potencialmente autenticarse como usuario debido a la divulgación del hashing NTLM, cuyo objetivo es proteger las contraseñas.
Por otro lado, CVE-2024-49039 es una vulnerabilidad de elevación de privilegios del Programador de tareas de Windows. Henry Smith, ingeniero de seguridad senior de Automox, señaló que esta falla explota las funciones de llamada a procedimiento remoto, lo que permite a un atacante elevar sus privilegios después de obtener acceso inicial a un sistema Windows. La aplicación de parches sigue siendo la defensa más confiable contra estas vulnerabilidades, especialmente porque el código de explotación funcional ya está circulando libremente.
Vulnerabilidades críticas con una gravedad de 9,8
Para aumentar la alarma, dos vulnerabilidades han sido calificadas con 9,8 en el Sistema de puntuación de vulnerabilidad común, lo que indica su impacto potencial. CVE-2024-43498 afecta a las aplicaciones web .NET, permitiendo a atacantes remotos no autenticados explotar la aplicación a través de solicitudes maliciosas. Mientras tanto, CVE-2024-43639 apunta a Windows Kerberos, lo que permite a atacantes no autorizados ejecutar código a través de los mismos vectores no autenticados.
Sin embargo, el foco principal debería dirigirse a dos vulnerabilidades de seguridad calificadas con un 9,8 crítico en la escala de gravedad del impacto, según Tyler Reguly, director asociado de investigación y desarrollo de seguridad de Fortra. “Si bien el Sistema Común de Puntuación de Vulnerabilidad no es un indicador de riesgo”, Reguly dicho“las puntuaciones de 9,8 suelen indicar bastante dónde está el problema”.
Dada la gravedad de estas vulnerabilidades, Microsoft enfatiza la importancia de aplicar actualizaciones de seguridad, particularmente para usuarios que operan Windows, Office, SQL Server, Exchange Server, .NET y Visual Studio. Chris Goettl, vicepresidente de gestión de productos de seguridad de Ivanti, señaló que la aplicación de parches debería ser una prioridad debido a la naturaleza conocida y explotada activamente de estas vulnerabilidades.
Seguimiento de ataques y vulnerabilidades recientes
Las preocupaciones de Microsoft se ven reforzadas por incidentes recientes en los que piratas informáticos rusos explotaron vulnerabilidades en sus sistemas para ataques dirigidos específicamente a entidades ucranianas. Esto resalta las implicaciones más amplias de estas vulnerabilidades más allá de los simples problemas de software. Los investigadores de seguridad de ClearSky informaron que la vulnerabilidad de divulgación de hash NTLM (CVE-2024-43451) se estaba utilizando para robar hashes NTLMv2 mediante esquemas de phishing, lo que desencadenó una secuencia que permitió a los atacantes obtener acceso remoto a los sistemas comprometidos.
Al utilizar hipervínculos diseñados en correos electrónicos de phishing, los atacantes obligaron a los usuarios a interactuar con archivos maliciosos, activando la vulnerabilidad que se conecta a un servidor controlado por el atacante. Esto subraya la necesidad apremiante de que los usuarios permanezcan alerta y denuncien comunicaciones sospechosas.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2024-43451 a su Catálogo de vulnerabilidades explotadas conocidas, lo que exige que las organizaciones protejan sus sistemas vulnerables a principios de diciembre. Como afirmó CISA, estas vulnerabilidades frecuentemente sirven como vectores de ataque para ciberataques maliciosos y plantean grandes riesgos, particularmente dentro de las redes federales.
Armados con el conocimiento de estas vulnerabilidades, se insta a los usuarios a actuar con prontitud. El martes de parches de noviembre de Microsoft es un paso necesario para mitigar los riesgos asociados con las fallas recién descubiertas. A medida que los entornos de trabajo híbridos continúan desdibujando las líneas de la ciberseguridad, seguir las mejores prácticas y garantizar actualizaciones oportunas puede reducir drásticamente la exposición a posibles amenazas.
Crédito de la imagen destacada: Windows/Desinstalar
