Como cada segundo martes de cada mes, hoy es el martes de parches de noviembre de Microsoft, y la compañía no ha defraudado con su esperada actualización de seguridad. Este mes, el gigante tecnológico ha lanzado correcciones para un total de 91 vulnerabilidades, incluyendo cuatro preocupantes fallos zero-day que ya estaban siendo aprovechados por atacantes. Estas actualizaciones no solo protegen a millones de usuarios en todo el mundo, sino que también refuerzan la importancia de mantener nuestros sistemas al día para evitar riesgos de ciberseguridad.
Este martes de parches, Microsoft abordó cuatro vulnerabilidades críticas, incluyendo dos fallos de ejecución remota de código y dos problemas de elevación de privilegios. Básicamente, corrigieron errores que podrían haber permitido a los atacantes tomar el control de sistemas o acceder a funciones restringidas.
Aquí tienes un desglose rápido de las categorías de vulnerabilidades corregidas:
Ah, y esto no incluye dos fallos de Microsoft Edge que ya se corrigieron hace unos días, el pasado 7 de noviembre.
En el parche de este mes, Microsoft ha corregido cuatro vulnerabilidades zero-day, de las cuales dos ya estaban siendo explotadas activamente en ataques reales, y tres habían sido divulgadas públicamente. Para los que no estén familiarizados, una vulnerabilidad zero-day es aquella que se hace pública o es utilizada por atacantes antes de que exista un parche oficial para solucionarla. Básicamente, deja a los sistemas expuestos hasta que llega una actualización.
Este fallo permitía a los atacantes remotos acceder a los hashes NTLM (un tipo de credencial que puede usarse para autenticarse en sistemas Windows) con muy poca interacción por parte del usuario. Según Microsoft, solo con realizar acciones básicas como hacer clic derecho en un archivo malicioso o inspeccionarlo, el sistema ya podía verse comprometido.
¿Qué significa esto? Un atacante podía usar el hash NTLMv2 expuesto para hacerse pasar por el usuario legítimo y ganar acceso a recursos protegidos. Lo preocupante es lo sencillo que era desencadenar este ataque: no era necesario ni abrir el archivo malicioso, simplemente interactuar mínimamente con él era suficiente.
Microsoft acreditó el descubrimiento de esta vulnerabilidad a Israel Yeshurun de ClearSky Cyber Security, quien divulgó públicamente el problema. Sin embargo, no se compartieron más detalles técnicos sobre el exploit.
Esta es una de las razones por las que mantener el sistema actualizado es tan crítico. Con un simple descuido, este tipo de fallos podría permitir que un atacante tenga acceso no autorizado a tus sistemas o datos importantes.
Podría interesarte leer: ¿Qué Pasa si No Actualizas Software?: Evita Vulnerabilidades
Este fallo permite a un atacante ejecutar una aplicación diseñada específicamente para aumentar sus privilegios en el sistema, pasando de un nivel bajo a un nivel de integridad media.
En palabras de Microsoft: "Un ataque exitoso podría realizarse desde un AppContainer con privilegios bajos, permitiendo al atacante elevar sus permisos y ejecutar código o acceder a recursos que normalmente están fuera del alcance del entorno de AppContainer".
¿Qué significa esto? Básicamente, un atacante podría aprovechar esta vulnerabilidad para acceder a funciones RPC (Llamadas a Procedimientos Remotos) que normalmente solo están disponibles para cuentas con privilegios elevados. En otras palabras, sería como conseguir una llave maestra para ciertas partes del sistema que deberían estar fuera de su alcance.
Este fallo fue descubierto por Vlad Stolyarov y Bahare Sabouri, del equipo de análisis de amenazas de Google. Sin embargo, Microsoft no ha proporcionado detalles sobre cómo se estaba explotando exactamente esta vulnerabilidad en los ataques.
Aunque no sabemos los detalles específicos, lo que sí está claro es que este tipo de fallas son un recordatorio de por qué mantener los sistemas actualizados es clave. Un pequeño descuido puede dar a los atacantes la oportunidad de hacer mucho más daño del que podrías imaginar.
Además de los ataques zero-day, Microsoft también corrigió otras tres vulnerabilidades que, aunque fueron reveladas públicamente, no se han detectado en ataques reales (hasta ahora).
Este fallo en Microsoft Exchange Server permitía a los atacantes falsificar la dirección de correo electrónico del remitente en mensajes enviados a destinatarios locales. En pocas palabras, alguien podía hacer que un correo pareciera enviado por una persona confiable, cuando en realidad no lo era.
Microsoft explicó que el problema se debe a una debilidad en la verificación del encabezado P2 FROM que se usa durante el transporte de correos. Como parte de la solución, Exchange ahora detecta y marca los correos electrónicos sospechosos con una advertencia automática al inicio del mensaje:
"Aviso: este correo electrónico parece ser sospechoso. No confíe en la información, los vínculos o los archivos adjuntos de este correo electrónico sin verificar la fuente a través de un método confiable".
Básicamente, esta alerta sirve como una barrera adicional para prevenir engaños por correos fraudulentos.
Esta vulnerabilidad permitía a los atacantes obtener privilegios de administrador de dominio abusando de las plantillas de certificados predeterminadas (versión 1) de Active Directory. El problema surgía si se utilizaban plantillas con configuraciones que permitían a los atacantes modificar ciertas propiedades clave. Según Microsoft, esto podía suceder si:
Por ejemplo, la plantilla predeterminada WebServer no es vulnerable por defecto, pero si se configuraban permisos de manera demasiado abierta, un atacante con derechos de inscripción podía abusar de estas plantillas para crear certificados falsificados y ganar acceso a recursos críticos.
Por último, pero no menos importante, CVE-2024-43451, que ya mencionamos anteriormente, también fue revelada públicamente antes de ser parcheada. Esta vulnerabilidad exponía hashes NTLMv2 a atacantes con una interacción mínima del usuario.
Te podrá interesar leer: Administración Automatizada de Parches con TecnetProtect
Este mes, Microsoft lanzó una larga lista de parches para corregir varias vulnerabilidades, algunas bastante críticas. Aquí te dejamos un resumen claro y directo de los fallos solucionados, para que tengas una idea de lo que se arregló en esta actualización y por qué es tan importante mantener tus sistemas al día.
La actualización de este mes corrige problemas significativos que podrían permitir a atacantes tomar control de sistemas, elevar privilegios o acceder a datos sensibles. Si usas cualquier producto de Microsoft, asegúrate de instalar estos parches lo antes posible.