Microsoft ha parcheado dos vulnerabilidades de día cero explotadas activamente en su martes de parches de febrero (un par de omisiones de funciones de seguridad que afectan a los archivos de acceso directo a Internet y a Windows SmartScreen respectivamente) de un total de poco más de 70 vulnerabilidades reveladas en la segunda caída de 2024. Entre algunas Uno de los problemas más urgentes de este mes son las vulnerabilidades críticas en Microsoft Dynamics, Exchange Server, Office y Windows Hyper-V y Pragmatic General Multicast, aunque ninguna de estas fallas se está utilizando todavía. Hidra de agua El primero de los dos días cero tiene un seguimiento como CVE-2024-21412 y fue encontrado por investigadores de Trend Micro. Parece estar siendo utilizado para apuntar a comerciantes de divisas específicamente por un grupo rastreado como Water Hydra. Según Trend Micro, la banda de ciberdelincuentes está aprovechando CVE-2024-21412 como parte de una cadena de ataque más amplia para evitar SmartScreen y entregar un troyano de acceso remoto (RAT) llamado DarkMe, probablemente como precursor de futuros ataques, que posiblemente involucren Secuestro de datos. «CVE-2024-21412 representa una vulnerabilidad crítica caracterizada por una explotación sofisticada de Microsoft Defender SmartScreen a través de una falla de día cero», explicó Saeed Abbasi, gerente de producto para la investigación de vulnerabilidades en la Unidad de Investigación de Amenazas de Qualys. “Esta vulnerabilidad se explota a través de un archivo especialmente diseñado que se entrega mediante tácticas de phishing, que manipula inteligentemente los accesos directos a Internet y los componentes WebDAV para evitar los controles de seguridad mostrados. “La explotación requiere la interacción del usuario, los atacantes deben convencer al usuario objetivo de que abra un archivo malicioso, lo que resalta la importancia de la concienciación del usuario junto con las defensas técnicas. El impacto de esta vulnerabilidad es profundo, compromete la seguridad y socava la confianza en mecanismos de protección como SmartScreen”, dijo Abbasi. El segundo día cero, registrado como CVE-2024-21351, es notablemente similar al primero en el sentido de que, en última instancia, afecta el servicio SmartScreen. En este caso, sin embargo, permite a un atacante eludir las comprobaciones que realiza para la llamada Marca de la Web (MotW), que indica si un archivo es confiable o no, y ejecutar su propio código. «Esta elusión puede ocurrir con una interacción mínima del usuario, requiriendo sólo que el usuario abra un archivo malicioso», dijo Abbasi. “El impacto de este exploit incluye posible acceso no autorizado a los datos (cierta pérdida de confidencialidad), manipulación severa o corrupción de los datos (pérdida total de integridad) e interrupción parcial de las operaciones del sistema (cierta pérdida de disponibilidad). «La importancia de esta vulnerabilidad radica en su capacidad para socavar una defensa de seguridad crucial contra el malware y los ataques de phishing, lo que enfatiza la urgencia de que los usuarios actualicen sus sistemas para mitigar el riesgo». Vulnerabilidades críticas Las cinco vulnerabilidades críticas de este mes son, en orden numérico CVE: CVE-2024-20684, una vulnerabilidad de denegación de servicio (DoS) en Windows Hyper-V; CVE-2024-21357, una vulnerabilidad de ejecución remota de código (RCE) en Windows Pragmatic General Multicast (PGM); CVE-2024-21380, una vulnerabilidad de divulgación de información en Microsoft Dynamics Business Central/NAV; CVE-2024-21410, una vulnerabilidad de elevación de privilegios (EoP) en Microsoft Exchange Server; CVE-2024-21413, una vulnerabilidad RCE en Microsoft Office. Al evaluar las vulnerabilidades críticas de este mes, los expertos en seguridad se centraron en CVE-2024-21410 en Microsoft Exchange en particular. Kev Breen, director senior de investigación de amenazas en Immersive Labs, dijo que debería ocupar un lugar destacado en la lista porque, si bien no está marcado como explotado activamente, es mucho más probable que lo sea. «Esta vulnerabilidad específica se conoce como retransmisión NTLM o ataque de paso de hash y este estilo de ataque es el favorito de los actores de amenazas, ya que les permite hacerse pasar por usuarios en la red», dijo. “La forma en que funciona esta vulnerabilidad es que si un atacante puede recopilar su hash NTLM, efectivamente tiene la versión codificada de su contraseña y puede iniciar sesión en Exchange Server como usted. Microsoft señala específicamente vulnerabilidades pasadas, como el exploit de clic cero de Outlook CVE-2023-35636, como un método para que los atacantes obtengan acceso a este hash NTLM”. «Los atacantes con motivación financiera intentarán rápidamente utilizar esto como arma, ya que permite ataques de compromiso de correo electrónico empresarial más convincentes en los que pueden interceptar, leer y enviar correos electrónicos legítimos en nombre de los empleados, por ejemplo, del CEO o del CFO», dijo. Mike Walters, presidente y cofundador de Action1, llamó la atención sobre CVE-2024-21412 en Outlook, que tiene una calificación de gravedad muy alta de 9,8 en la escala CVSS. «Caracterizada por su vector de ataque basado en la red, la vulnerabilidad no requiere privilegios especiales ni interacción del usuario para su explotación y podría afectar significativamente la confidencialidad, integridad y disponibilidad», dijo. Un atacante puede explotar esta vulnerabilidad a través del panel de vista previa de Outlook, lo que le permite eludir la Vista protegida de Office y forzar la apertura de archivos en modo de edición, en lugar de en el modo protegido más seguro”, dijo Walters. Walters dijo que la amenaza que planteaba esta vulnerabilidad era sustancial y posiblemente permitía a un atacante elevar sus privilegios y obtener la capacidad de leer, escribir y eliminar datos. Sumado a esta preocupación, también podría permitirles crear enlaces maliciosos para eludir el Protocolo de vista protegida, lo que llevaría a la exposición de las credenciales NTLM locales y posiblemente facilitaría la ejecución remota de código. Como tal, debería tratarse como una prioridad.

Source link