Microsoft Patch Tuesday de Noviembre 2024: 4 Zero-Day y 91 Fallas

Como cada segundo martes de cada mes, hoy es el martes de parches de noviembre de Microsoft, y la compañía no ha defraudado con su esperada actualización de seguridad. Este mes, el gigante tecnológico ha lanzado correcciones para un total de 91 vulnerabilidades, incluyendo cuatro preocupantes fallos zero-day que ya estaban siendo aprovechados por atacantes. Estas actualizaciones no solo protegen a millones de usuarios en todo el mundo, sino que también refuerzan la importancia de mantener nuestros sistemas al día para evitar riesgos de ciberseguridad.

Este martes de parches, Microsoft abordó cuatro vulnerabilidades críticas, incluyendo dos fallos de ejecución remota de código y dos problemas de elevación de privilegios. Básicamente, corrigieron errores que podrían haber permitido a los atacantes tomar el control de sistemas o acceder a funciones restringidas.

Aquí tienes un desglose rápido de las categorías de vulnerabilidades corregidas:

1. 26 fallos de elevación de privilegios.
   
   
2. 2 fallos de omisión de funciones de seguridad.
   
   
3. 52 vulnerabilidades de ejecución remota de código.
   
   
4. 1 problema de divulgación de información.
   
   
5. 4 vulnerabilidades de denegación de servicio.
   
   
6. 3 fallos de suplantación de identidad.
   
   

Ah, y esto no incluye dos fallos de Microsoft Edge que ya se corrigieron hace unos días, el pasado 7 de noviembre.

Cuatro Ataques Zero-Day Salen a la Luz

En el parche de este mes, Microsoft ha corregido cuatro vulnerabilidades zero-day, de las cuales dos ya estaban siendo explotadas activamente en ataques reales, y tres habían sido divulgadas públicamente. Para los que no estén familiarizados, una vulnerabilidad zero-day es aquella que se hace pública o es utilizada por atacantes antes de que exista un parche oficial para solucionarla. Básicamente, deja a los sistemas expuestos hasta que llega una actualización.

Las dos vulnerabilidades activamente explotadas

CVE-2024-43451 – Vulnerabilidad de Suplantación con Divulgación de Hashes NTLM

Este fallo permitía a los atacantes remotos acceder a los hashes NTLM (un tipo de credencial que puede usarse para autenticarse en sistemas Windows) con muy poca interacción por parte del usuario. Según Microsoft, solo con realizar acciones básicas como hacer clic derecho en un archivo malicioso o inspeccionarlo, el sistema ya podía verse comprometido.

¿Qué significa esto? Un atacante podía usar el hash NTLMv2 expuesto para hacerse pasar por el usuario legítimo y ganar acceso a recursos protegidos. Lo preocupante es lo sencillo que era desencadenar este ataque: no era necesario ni abrir el archivo malicioso, simplemente interactuar mínimamente con él era suficiente.

Microsoft acreditó el descubrimiento de esta vulnerabilidad a Israel Yeshurun de ClearSky Cyber Security, quien divulgó públicamente el problema. Sin embargo, no se compartieron más detalles técnicos sobre el exploit.

Esta es una de las razones por las que mantener el sistema actualizado es tan crítico. Con un simple descuido, este tipo de fallos podría permitir que un atacante tenga acceso no autorizado a tus sistemas o datos importantes.

Podría interesarte leer:  ¿Qué Pasa si No Actualizas Software?: Evita Vulnerabilidades

CVE-2024-49039: Elevación de Privilegios en el Programador de Tareas de Windows

Este fallo permite a un atacante ejecutar una aplicación diseñada específicamente para aumentar sus privilegios en el sistema, pasando de un nivel bajo a un nivel de integridad media.

En palabras de Microsoft: "Un ataque exitoso podría realizarse desde un AppContainer con privilegios bajos, permitiendo al atacante elevar sus permisos y ejecutar código o acceder a recursos que normalmente están fuera del alcance del entorno de AppContainer".

¿Qué significa esto? Básicamente, un atacante podría aprovechar esta vulnerabilidad para acceder a funciones RPC (Llamadas a Procedimientos Remotos) que normalmente solo están disponibles para cuentas con privilegios elevados. En otras palabras, sería como conseguir una llave maestra para ciertas partes del sistema que deberían estar fuera de su alcance.

Este fallo fue descubierto por Vlad Stolyarov y Bahare Sabouri, del equipo de análisis de amenazas de Google. Sin embargo, Microsoft no ha proporcionado detalles sobre cómo se estaba explotando exactamente esta vulnerabilidad en los ataques.

Aunque no sabemos los detalles específicos, lo que sí está claro es que este tipo de fallas son un recordatorio de por qué mantener los sistemas actualizados es clave. Un pequeño descuido puede dar a los atacantes la oportunidad de hacer mucho más daño del que podrías imaginar.

Tres Vulnerabilidades más Reveladas Públicamente (pero no explotadas)

Además de los ataques zero-day, Microsoft también corrigió otras tres vulnerabilidades que, aunque fueron reveladas públicamente, no se han detectado en ataques reales (hasta ahora). 

1. CVE-2024-49040: Suplantación de identidad en Microsoft Exchange Server

Este fallo en Microsoft Exchange Server permitía a los atacantes falsificar la dirección de correo electrónico del remitente en mensajes enviados a destinatarios locales. En pocas palabras, alguien podía hacer que un correo pareciera enviado por una persona confiable, cuando en realidad no lo era.

Microsoft explicó que el problema se debe a una debilidad en la verificación del encabezado P2 FROM que se usa durante el transporte de correos. Como parte de la solución, Exchange ahora detecta y marca los correos electrónicos sospechosos con una advertencia automática al inicio del mensaje:

"Aviso: este correo electrónico parece ser sospechoso. No confíe en la información, los vínculos o los archivos adjuntos de este correo electrónico sin verificar la fuente a través de un método confiable".

Básicamente, esta alerta sirve como una barrera adicional para prevenir engaños por correos fraudulentos.

2. CVE-2024-49019: Elevación de Privilegios en los Servicios de Certificados de Active Directory

Esta vulnerabilidad permitía a los atacantes obtener privilegios de administrador de dominio abusando de las plantillas de certificados predeterminadas (versión 1) de Active Directory. El problema surgía si se utilizaban plantillas con configuraciones que permitían a los atacantes modificar ciertas propiedades clave. Según Microsoft, esto podía suceder si:

1. Se usaba una plantilla de certificado con la configuración "Suministrada en la solicitud" para el nombre del sujeto.
   
   
2. Los permisos de inscripción de los certificados se otorgaban a un grupo amplio de cuentas, como "usuarios de dominio" o "computadoras de dominio".

Por ejemplo, la plantilla predeterminada WebServer no es vulnerable por defecto, pero si se configuraban permisos de manera demasiado abierta, un atacante con derechos de inscripción podía abusar de estas plantillas para crear certificados falsificados y ganar acceso a recursos críticos.

3. CVE-2024-43451: Vulnerabilidad Previamente Discutida

Por último, pero no menos importante, CVE-2024-43451, que ya mencionamos anteriormente, también fue revelada públicamente antes de ser parcheada. Esta vulnerabilidad exponía hashes NTLMv2 a atacantes con una interacción mínima del usuario.

Te podrá interesar leer:  Administración Automatizada de Parches con TecnetProtect

Actualizaciones de Seguridad del Martes de Parches de Noviembre 2024

Este mes, Microsoft lanzó una larga lista de parches para corregir varias vulnerabilidades, algunas bastante críticas. Aquí te dejamos un resumen claro y directo de los fallos solucionados, para que tengas una idea de lo que se arregló en esta actualización y por qué es tan importante mantener tus sistemas al día.

Críticas

1. .NET y Visual Studio: Ejecución remota de código en .NET y Visual Studio (CVE-2024-43498).
   
   
2. Airlift.microsoft.com: Elevación de privilegios (CVE-2024-49056).
   
   
3. Kerberos de Windows: Ejecución remota de código en Kerberos (CVE-2024-43639).
   
   
4. Conmutador VM de Windows (VMSwitch): Elevación de privilegios en entornos de máquinas virtuales (CVE-2024-43625).

Importantes

1. Microsoft Office: Ejecución remota de código en Excel, Word y gráficos de Office (varias CVEs).
   
   
2. Microsoft SQL Server: Más de 20 fallos de ejecución remota de código en SQL Server Native Client y otros componentes.
   
   
3. Microsoft Exchange Server: Suplantación de identidad en correos electrónicos (CVE-2024-49040).
   
   
4. Active Directory: Elevación de privilegios en Servicios de Certificados (CVE-2024-49019).
   
   
5. Windows NTLM: Suplantación de identidad mediante la divulgación de hashes NTLM (CVE-2024-43451).
   
   
6. Windows Kernel y Drivers: Vulnerabilidades de elevación de privilegios en el kernel y controladores USB.
   
   
7. Servicio de telefonía de Windows: Ejecución remota de código y elevación de privilegios en múltiples fallos.
   
   
8. DNS de Windows: Suplantación de DNS (CVE-2024-43450).

Otros problemas destacados

1. Microsoft Defender: Vulnerabilidad en OpenSSL que afecta el buffer (CVE-2024-5535).
   
   
2. Windows Update: Elevación de privilegios en la pila de actualizaciones de Windows (CVE-2024-43530).
   
   
3. Visual Studio Code: Ejecución remota de código en extensiones específicas, como Python (CVE-2024-49050).

Conclusión

La actualización de este mes corrige problemas significativos que podrían permitir a atacantes tomar control de sistemas, elevar privilegios o acceder a datos sensibles. Si usas cualquier producto de Microsoft, asegúrate de instalar estos parches lo antes posible.