Los equipos de seguridad tendrán unos días muy ajetreados por delante después de que Microsoft parcheara cerca de 140 nuevas vulnerabilidades y exposiciones comunes (CVE) en su actualización del martes de parches de julio, incluidas cuatro vulnerabilidades de día cero, una de ellas una actualización de terceros a través del gigante de los procesadores ARM. Las cuatro vulnerabilidades de día cero se enumeran, en orden numérico, de la siguiente manera: CVE-2024-35264, una vulnerabilidad de ejecución de código remoto (RCE) en .NET y Visual Studio. Esta vulnerabilidad tiene una puntuación CVSS de 8,1, pero, por el contrario, aunque circula un exploit de prueba de concepto, todavía no parece haber sido aprovechado; CVE-2024-37895, una vulnerabilidad de divulgación de información que afecta a ARM. Este error tiene una puntuación CVSS de 5,9, pero, aunque se ha hecho público, tampoco se ha explotado todavía; CVE-2024-38080, un fallo de elevación de privilegios (EoP) en Windows Hyper-V. Esta vulnerabilidad tiene una puntuación CVSS de 7,8 y se sabe que ha sido explotada en la red, aunque no se ha publicado ningún exploit público; CVE-2024-38112, una vulnerabilidad de suplantación de identidad en la plataforma MSHTML de Windows. Esta vulnerabilidad tiene una puntuación CVSS de 7,5. No hay ningún exploit público disponible, pero está siendo utilizado por adversarios aún desconocidos. Centrándose en el fallo de Hyper-V, Mike Walters, del especialista en gestión de parches Action1, dijo que planteaba un «riesgo significativo» para los sistemas que utilizan Hyper-V: parece relativamente fácil de explotar, ya que un atacante puede obtener derechos de administrador con facilidad si ha obtenido acceso local inicial a través de, por ejemplo, una cuenta de usuario comprometida dentro de una máquina virtual. En última instancia, se aprovecha de un problema de desbordamiento de enteros dentro de Hyper-V. «CVE-2024-38080 … destaca una vía clara para que los atacantes obtengan privilegios elevados, poniendo en peligro la confidencialidad, integridad y disponibilidad de múltiples sistemas virtualizados», dijo Walters. “Cuando se combina con otras vulnerabilidades, como fallas de ejecución de código remoto o exploits de acceso inicial como phishing o kits de explotación, el vector de ataque se vuelve más sofisticado y dañino. “Adoptar un enfoque de seguridad proactivo, que incluya parches oportunos y un estricto cumplimiento de prácticas de seguridad sólidas, es crucial para mitigar estos riesgos de manera efectiva”, agregó. Saeed Abbasi, gerente de producto, vulnerabilidad en la Unidad de investigación de amenazas (TRU) de Qualys, agregó: “El impacto es enorme, ya que esta vulnerabilidad podría otorgar a los atacantes el nivel más alto de acceso al sistema que podría permitir la implementación de ransomware y otros ataques maliciosos. “Si bien Microsoft no ha revelado el alcance de la explotación activa, la naturaleza de la vulnerabilidad la convierte en un objetivo principal para los atacantes. Debido a su potencial para el control profundo del sistema, esta vulnerabilidad está preparada para un aumento de los intentos de explotación. La combinación de baja complejidad y ningún requisito de interacción del usuario significa que es probable que se incorpore rápidamente a los kits de explotación, lo que lleva a una explotación generalizada. Abbasi añadió: “Además, la capacidad de escalar privilegios hace que esta vulnerabilidad sea particularmente perjudicial para los ataques de ransomware, ya que permite a los atacantes desactivar las medidas de seguridad y propagarse de manera más efectiva a través de las redes, amplificando significativamente el impacto de tales ataques”. Mientras tanto, Rob Reeves, ingeniero principal de seguridad cibernética en Immersive Labs, ejecutó la regla sobre la vulnerabilidad de la plataforma MSHTLM de Windows. “Los detalles de Microsoft son escasos y solo se describen como una vulnerabilidad de ‘suplantación’, que requiere ingeniería social para convencer a un usuario de ejecutar un archivo entregado”, dijo. “Se evalúa que la vulnerabilidad probablemente podría conducir a la ejecución remota de código, debido a su vínculo con CWE-668: Exposición de recursos a la esfera equivocada y, en caso de explotación exitosa, conduce a un compromiso completo de la confidencialidad, integridad y disponibilidad. La puntuación CVSS de solo 7,5, debido a la dificultad de explotación, posiblemente se deba solo a la complejidad del ataque en sí. Reeves dijo que sin más detalles de Microsoft o del reportero original -un investigador de Check Point- era difícil dar una guía específica sobre los próximos pasos, pero que dado que afecta a todos los hosts de Windows Server 2008 R2 y posteriores -incluidos los clientes- y está viendo una explotación activa, debería priorizarse para aplicar parches sin demora. Además de los días cero, la actualización de julio de 2024 también enumera cinco fallas críticas, todas vulnerabilidades RCE, con puntuaciones CVSS de 7,2 a 9,8. Tres de ellas se relacionan con el Servicio de licencias de escritorio remoto de Windows, una con la biblioteca de códecs de Microsoft Windows y la quinta con Microsoft SharePoint Server. Jugadores, cuidado Por último, otra vulnerabilidad RCE en el adaptador inalámbrico Xbox también ha llamado la atención, lo que demuestra acertadamente la importancia de proteger los dispositivos y las redes de los consumidores, que pueden ser un elemento tan útil de la cadena de ataque de un actor de amenazas como cualquier vulnerabilidad de servidor en la nube que afecte a una empresa. Identificada como CVE-2024-38078, la falla se vuelve explotable si un atacante se encuentra en proximidad física cercana al sistema objetivo y ha recopilado información específica sobre el entorno objetivo. Aunque esta complejidad hace que sea menos probable que se explote, si sucediera, un atacante podría enviar un paquete de red malicioso a un sistema adyacente que emplee el adaptador y, desde allí, lograr RCE. “En una configuración de trabajo desde casa, es esencial proteger todos los dispositivos, incluidos los dispositivos IoT como sistemas de alarma y televisores inteligentes. Los atacantes pueden explotar esta vulnerabilidad para obtener acceso no autorizado y comprometer información confidencial. La distancia con la que se pueden detectar, interceptar y transmitir las señales de Wi-Fi se suele subestimar, lo que aumenta aún más el riesgo de esta vulnerabilidad”, dijo Ryan Braunstein, líder del equipo de operaciones de seguridad de Automox. “Para mitigar estas amenazas, aplique actualizaciones periódicas a todos los dispositivos y adopte medidas de seguridad de red sólidas, como contraseñas robustas y cifrado. “Educar a todos los empleados, amigos y familiares sobre la importancia de mantener los dispositivos actualizados y con parches puede no hacerlos populares en las fiestas, pero definitivamente puede reducir las llamadas telefónicas a las 2 a. m.”, agregó Braunstein.