La actualización de seguridad del martes de parches programada por Microsoft para febrero incluye correcciones para dos vulnerabilidades de seguridad de día cero bajo ataque activo, además de otras 71 fallas en una amplia gama de sus productos.
En total, cinco de las vulnerabilidades para las cuales Microsoft publicó un parche en febrero fueron calificadas como críticas, 66 como importantes y dos como moderadas.
El la actualización incluye parches para Microsoft Office, Windows, Microsoft Exchange Server, el navegador Edge basado en Chromium de la empresa, Azure Active Directory, Microsoft Defender para Endpoint y Skype empresarial. Tenable identificó 30 de los 73 CVE como vulnerabilidades de ejecución remota de código (RCE); 16 como habilitación de la escalada de privilegios; 10 relacionados con errores de suplantación de identidad; nueve permiten ataques distribuidos de denegación de servicio; cinco como fallas en la divulgación de información; y tres como problemas de omisión de seguridad.
Agua Hydra explota los días cero dirigidos a los comerciantes financieros
Un actor de amenazas denominado Water Hydra (también conocido como Dark Casino) está aprovechando actualmente una de las vulnerabilidades de día cero: una La función de seguridad de archivos de acceso directo a Internet evita la vulnerabilidad rastreado como CVE-2024-21412 (CVSS 8.1): en una campaña maliciosa dirigida a organizaciones del sector financiero.
Los investigadores de Trend Micro, entre varios que descubrieron e informaron la falla a Microsoft, la describieron como vinculada a una omisión de una vulnerabilidad SmartScreen previamente parcheada (CVE-2023-36025, CVSS 8.8) y afecta a todas las versiones de Windows compatibles. Los actores de Water Hydra están utilizando CVE-2024-21412 para obtener acceso inicial a los sistemas pertenecientes a comerciantes financieros y colocarles el troyano de acceso remoto DarkMe.
Para explotar la vulnerabilidad, un atacante primero necesitaría entregar un archivo malicioso a un usuario objetivo y lograr que lo abra, dijo Saeed Abbasi, gerente de investigación de vulnerabilidades en Qualys, en un comentario enviado por correo electrónico. "El impacto de esta vulnerabilidad es profundo, compromete la seguridad y socava la confianza en mecanismos de protección como SmartScreen", dijo Abbasi.
Bypass de SmartScreen de día cero
El otro día cero que Microsoft reveló en la actualización de seguridad de este mes afecta a Defender SmartScreen. Según Microsoft, CVE-2024-21351 es un error de gravedad media que permite a un atacante eludir las protecciones de SmartScreen e inyectar código en él para obtener potencialmente capacidades de ejecución remota de código. Un exploit exitoso podría conducir a una exposición limitada de los datos, problemas de disponibilidad de los sistemas o ambos, dijo Microsoft. No hay detalles disponibles sobre quién exactamente podría estar explotando el error y con qué propósito.
En comentarios preparados para Dark Reading, Mike Walters, presidente y cofundador de Action1, dijo que la vulnerabilidad está ligada a la forma en que la Marca de la Web de Microsoft (una característica para identificar contenido no confiable de Internet) interactúa con la característica SmartScreen. "Para esta vulnerabilidad, un atacante debe distribuir un archivo malicioso a un usuario y persuadirlo para que lo abra, permitiéndole eludir las comprobaciones de SmartScreen y potencialmente comprometer la seguridad del sistema", dijo Walters.
Errores de alta prioridad
Entre las cinco vulnerabilidades críticas de la actualización de febrero, la que requiere atención prioritaria es CVE-2024-21410, una vulnerabilidad de escalada de privilegios en Exchange Server, un objetivo favorito de los atacantes. Un atacante podría utilizar el error para revelar el hash versión 2 de Net-New Technology LAN Manager (NTLM) de un usuario objetivo y luego transmitir esa credencial a un servidor Exchange afectado y autenticarse en él como usuario.
Defectos como este que revelan información confidencial como hashes NTLM pueden ser muy valiosos para los atacantes, dijo Satnam Narang, ingeniero senior de investigación de Tenable en un comunicado. "Un actor de amenazas con sede en Rusia aprovechó una vulnerabilidad similar para llevar a cabo ataques: CVE-2023-23397 es una vulnerabilidad de elevación de privilegios en Microsoft Outlook parcheada en marzo de 2023", dijo.
Para corregir la falla, los administradores de Exchange deberán asegurarse de haber instalado la actualización acumulativa 2019 (CU14) de Exchange Server 14 y asegurarse de que la función Protección extendida para autenticación (EPA) esté habilitada, dijo Trend Micro. El proveedor de seguridad señaló un artículo que ha publicado Microsoft que proporciona información adicional sobre cómo parchear la vulnerabilidad.
Microsoft ha asignado a CVE-2024-21410 una calificación de gravedad máxima de 9.1 sobre 10, lo que la convierte en una vulnerabilidad crítica. Pero normalmente las vulnerabilidades de escalada de privilegios tienden a obtener una puntuación relativamente baja en la escala de calificación de vulnerabilidad CVSS, lo que contradice la verdadera naturaleza de la amenaza que presentan, dijo Kev Breen, director senior de investigación de amenazas en Immersive Labs. "A pesar de su baja puntuación, las vulnerabilidades [de escalada de privilegios] son muy buscadas por los actores de amenazas y utilizadas en casi todos los incidentes cibernéticos", dijo Breen en un comunicado. "Una vez que un atacante tiene acceso a una cuenta de usuario a través de ingeniería social o algún otro ataque, buscará escalar sus permisos al administrador local o al administrador del dominio".
Walters de Action1 destacado CVE-2024-21413, una falla de RCE en Microsoft Outlook como una vulnerabilidad que los administradores quizás quieran priorizar del lote de febrero. La falla de gravedad crítica con una puntuación de gravedad cercana a la máxima de 9.8 implica una baja complejidad de ataque, ninguna interacción del usuario y no se requieren privilegios especiales para que un atacante la aproveche. "Un atacante puede explotar esta vulnerabilidad a través del panel de vista previa de Outlook, lo que le permite eludir la Vista protegida de Office y forzar la apertura de archivos en modo de edición, en lugar de en el modo protegido más seguro", dijo Walters.
El propio Microsoft identificó la vulnerabilidad como algo que es menos probable que ataquen los atacantes. Sin embargo, Walters dijo que la vulnerabilidad representa una amenaza sustancial para las organizaciones y requiere atención inmediata.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/attackers-exploit-microsoft-security-bypass-zero-day-bugs
