Microsoft ha lanzado un total de 49 nuevos parches que marcan el primer evento del martes de parches de 2024, abordando una variedad de vulnerabilidades en toda su gama de productos, entre ellos dos errores críticos que afectan a Windows Kerberos y Windows Hyper-V, pero ningún problema de día cero o Exchange. . Esta es la segunda caída relativamente ligera del martes de parches: Microsoft resolvió apenas 30 problemas en diciembre de 2023, y tampoco hubo problemas de día cero que molestaran a los equipos de seguridad y administradores de sistemas. Las dos vulnerabilidades críticas se rastrean como CVE-2024-20674 en Windows Kerberos y CVE-2024-20700 en Windows Hyper-V. El primero de ellos es una falla de omisión de una característica de seguridad que se puede aprovechar mediante el llamado ataque de intermediario (MITM) u otro método de suplantación de red y luego enviando un mensaje Kerberos malicioso a la máquina víctima. haciéndose pasar por el servidor de autenticación Kerberos legítimo y desde allí obtiene privilegios adicionales en sistemas restringidos. «La vulnerabilidad requiere que el atacante tenga acceso a la misma red local que el objetivo», dijo Saeed Abbasi, gerente de producto para la investigación de vulnerabilidades en la Unidad de Investigación de Amenazas de Qualys. “No se puede explotar de forma remota a través de Internet, pero requiere proximidad a la red interna. “Además, esta infracción puede extenderse a áreas no gestionadas directamente por los protocolos de seguridad del sistema comprometido. Existe una alta probabilidad de que se produzcan intentos de explotación activa en un futuro próximo. «Más allá de los parches estándar, considere mejorar las capacidades de monitoreo de la red», dijo Abbasi. «Busque patrones inusuales o anomalías en el tráfico de la red que puedan indicar un ataque MITM o tráfico Kerberos no autorizado». La segunda vulnerabilidad crítica es una falla de ejecución remota de código (RCE), que Microsoft describe de manera bastante más vaga y parece ser más difícil de explotar, ya que depende de que un actor de amenazas gane una condición de carrera para aprovecharla con éxito, aunque desde luego no necesita más privilegios ni interacción del usuario. Mike Walters, presidente y cofundador de Action1, dijo que la vulnerabilidad tenía implicaciones para la confidencialidad, integridad y disponibilidad del sistema objetivo. «La explotación podría permitir a un atacante ejecutar código arbitrario con los privilegios del host Hyper-V, comprometiendo potencialmente todo el sistema», dijo. “[But] A partir de la publicación inicial, no ha habido divulgación pública ni casos confirmados de explotación de esta vulnerabilidad. La madurez de cualquier código de explotación aún no se ha demostrado”. Nos vemos en el medio Una tercera vulnerabilidad de particular interés para enero se rastrea como CVE-2024-0056, una vulnerabilidad de omisión de característica de seguridad en Microsoft.Data.SqlClient y System.Data.Sql Client SQL Data Provider, otra falla que se puede explotar a través de un ataque MITM: un escenario en el que un actor de amenazas intercepta mensajes entre dos sistemas que creen que se están comunicando entre sí. «Si es explotado, un atacante podría descifrar, leer o modificar el tráfico TLS seguro, violando la confidencialidad y la integridad de los datos», dijo Abbasi de Qualys. “Además, el atacante podría aprovecharlo para explotar SQL Server a través del proveedor de datos SQL, lo que podría afectar al propio SQL Server. «La explotación exitosa de esta vulnerabilidad puede no limitarse al componente inicialmente comprometido», dijo. “Sin embargo, la alta complejidad del ataque implica que aprovechar esta vulnerabilidad es una tarea compleja. Si se explota, esta vulnerabilidad podría provocar violaciones de datos, comprometer la integridad de los datos y dar lugar a acceso no autorizado a información confidencial”. Como paso adicional, Abbasi aconsejó a los defensores fortalecer la seguridad de la red para hacer que los ataques MITM sean más complejos utilizando protocolos de red seguros, monitoreo mejorado y reglas de firewall más sólidas. Fin de la línea El martes de parches de enero de 2024 también marca el punto en el que varios productos y servicios de Microsoft salen del soporte de seguridad convencional y entran en soporte extendido. Estos incluyen Exchange Server 2019, Hyper-V Server 2019, SharePoint Server 2019, clientes y servidores de Skype for Business 2019, Dynamics SL 2018 y Project Server 2019, así como partes de Windows 10: Enterprise LTSC 2019, IoT Core LTSC 2019, IoT LTSC 2019 Core, Windows Server 2019, Windows Server IoT 2019 y Windows Server IoT 2019 para almacenamiento. “Durante la fase del ciclo de vida de soporte extendido, Microsoft continúa brindando actualizaciones de seguridad, pero normalmente no lanza nuevas funciones. El soporte extendido no está disponible para los productos de consumo de Microsoft”, dijo Adam Barnett, ingeniero de software líder de Rapid7. «Hoy [also] marca el final del camino para Microsoft Dynamics CRM 2013, que supera el fin del soporte extendido. No hay ningún programa ESU disponible, por lo que los administradores deben pasar a una versión más reciente de Dynamics CRM para seguir recibiendo actualizaciones de seguridad”, añadió.

Source link