Parche ahora: error crítico de Windows Kerberos elude la seguridad de Microsoft

Microsoft facilitó la facilitación de los equipos de seguridad empresarial hasta 2024 con una actualización de seguridad relativamente ligera de enero que consta de parches para 48 CVE únicos, solo dos de los cuales la compañía identificó como de gravedad crítica.

Por segundo mes consecutivo, el martes de parches de Microsoft no incluyó ningún error de día cero, lo que significa que los administradores no tendrán que lidiar con ninguna nueva vulnerabilidad que los atacantes estén explotando activamente en este momento, algo que sucedió con frecuencia en 2023.

Sólo dos errores de gravedad crítica

Como suele ser el caso, los CVE que Microsoft divulgado el 9 de enero afectó a una amplia gama de sus productos e incluyó vulnerabilidades de escalada de privilegios, fallas de ejecución remota de código, errores de elusión de seguridad y otras vulnerabilidades. La compañía clasificó 46 de las fallas como de gravedad importante, incluidas varias que era más probable que los atacantes explotaran.

Uno de los dos errores de gravedad críticos en la última actualización de Microsoft es CVE-2024-20674, una característica de seguridad de Windows Kerberos que evita la vulnerabilidad que permite a los atacantes eludir los mecanismos de autenticación y lanzar ataques de suplantación. "Los atacantes pueden explotar esta falla mediante un ataque de máquina en el medio (MitM)", dice Saeed Abbasi, gerente de investigación de vulnerabilidades en Qualys en comentarios a Dark Reading. "Lo logran configurando un escenario de suplantación de identidad de red local y luego enviando mensajes Kerberos maliciosos para engañar a una máquina cliente haciéndole creer que se están comunicando con un servidor de autenticación Kerberos legítimo".

La vulnerabilidad requiere que el atacante tenga acceso a la misma red local que el objetivo. No se puede explotar de forma remota a través de Internet y requiere proximidad a la red interna. Aun así, existe una alta probabilidad de que se produzcan intentos de explotación activa en un futuro próximo, afirma Abbasi.

Ken Breen, director senior de investigación de amenazas de Immersive Labs, identificó CVE-2024-20674 como un error que las organizaciones harían bien en corregir rápidamente. "Este tipo de vectores de ataque siempre son valiosos para los actores de amenazas como los operadores de ransomware y los intermediarios de acceso", porque permiten un acceso significativo a las redes empresariales, según un comunicado de Breen.

La otra vulnerabilidad crítica en el último lote de actualizaciones de seguridad de Microsoft es CVE-2024-20700, una vulnerabilidad de ejecución remota de código en la tecnología de hipervirtualización de Windows. La vulnerabilidad no es especialmente fácil de explotar porque, para hacerlo, un atacante primero tendría que estar dentro de la red y junto a una computadora vulnerable, según un comunicado de Ben McCarthy, ingeniero jefe de ciberseguridad de Immersive Labs.

La vulnerabilidad también implica una condición de carrera, un tipo de problema que es más difícil de explotar para un atacante que muchos otros tipos de vulnerabilidad. "Esta vulnerabilidad se ha publicado como una explotación menos probable, pero debido a que Hyper-V se ejecuta con los privilegios más altos en una computadora, vale la pena pensar en parchear", dijo McCarthy.

Errores de ejecución remota de código de alta prioridad

Los investigadores de seguridad señalaron otros dos errores de RCE en la actualización de enero que merecen atención prioritaria: CVE-2024-21307 en el Cliente de escritorio remoto de Windows y CVE-2024-21318 en el servidor SharePoint.

Microsoft identificó CVE-2024-21307 como una vulnerabilidad que es más probable que los atacantes aprovechen, pero ha proporcionado poca información sobre el motivo, según Breen. La compañía ha observado que los atacantes no autorizados deben esperar a que un usuario inicie una conexión para poder explotar la vulnerabilidad.  

"Esto significa que los atacantes tienen que crear un servidor RDP malicioso y utilizar técnicas de ingeniería social para engañar al usuario para que se conecte", dijo Breen. "Esto no es tan difícil como parece, ya que los servidores RDP maliciosos son relativamente fáciles de configurar para los atacantes y luego enviar archivos adjuntos .rdp en correos electrónicos significa que un usuario sólo tiene que abrir el archivo adjunto para activar el exploit".

Algunos errores de escalada de privilegios más explotables

La actualización de enero de Microsoft incluyó parches para varias vulnerabilidades de escalada de privilegios. Entre los más graves está el de CVE-2023-21310, un error de escalada de privilegios en el controlador de minifiltro de archivos en la nube de Windows. El defecto es muy similar al CVE-2023-36036, una vulnerabilidad de escalada de privilegios de día cero en la misma tecnología, que Microsoft reveló en su Actualización de seguridad de noviembre de 2023.

Los atacantes explotaron activamente esa falla para intentar obtener privilegios a nivel del sistema en las máquinas locales, algo que también pueden hacer con la vulnerabilidad recientemente revelada. "Este tipo de paso de escalada de privilegios lo ven con frecuencia los actores de amenazas en los compromisos de la red", dijo Breen. "Puede permitir al atacante desactivar herramientas de seguridad o ejecutar herramientas de volcado de credenciales como Mimikatz que luego pueden permitir el movimiento lateral o el compromiso de cuentas de dominio".

Algunos de los otros errores importantes de escalada de privilegios incluyen CVE-2024-20653 en el sistema de archivos de registro común de Windows, CVE-2024-20698 en el núcleo de Windows, CVE-2024-20683 en Win32k, y CVE-2024-20686 en Win32k. Microsoft ha calificado todas estas fallas como problemas que los atacantes tienen más probabilidades de explotar, según un comunicado de Satnam Narang, ingeniero senior de investigación de Tenable. "Estos errores se utilizan comúnmente como parte de la actividad posterior al compromiso", dijo. "Es decir, una vez que los atacantes hayan conseguido un punto de apoyo inicial en los sistemas".

Entre los defectos que Microsoft calificó como importantes, pero que requieren atención rápida, se encuentra CVE-2024-0056, una característica de elusión de seguridad en SQL, afirma Abbasi. La falla permite a un atacante realizar un ataque de máquina en el medio, interceptando y potencialmente alterando el tráfico TLS entre un cliente y un servidor, señala. "Si es explotado, un atacante podría descifrar, leer o modificar el tráfico TLS seguro, violando la confidencialidad e integridad de los datos". Abbasi dice que un atacante también podría aprovechar la falla para explotar SQL Server a través del proveedor de datos SQL.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/ics-ot-security/critical-windows-kerberos-bug-microsoft-security-bypass