Para Microsoft, julio no será un buen mes en materia de seguridad. Esas imágenes de innumerables pantallas azules en todo el mundo permanecerán en la memoria. Y mientras el problema persista, Golpe de masas No es Microsoft, las apariencias importan. Los titulares sobre interrupciones del servicio también hacen que sea muy fácil olvidarlo. actual Amenazas de Windows que acechan en segundo plano según las advertencias antes de que CrowdStrike atacara. Pero ese olvido puede ser peligroso.
A principios de este mes, antes de que las pantallas azules de la muerte comenzaran a ser tendencia, ambos Control y Tendencia Micro advirtió que los usuarios de Windows 10 y 11 ahora están en riesgo por una amenaza “previamente desconocida” que despierta inteligentemente el código de Internet Explorer enterrado bajo las cubiertas de cientos de millones de PC, explotando agujeros de seguridad bien abiertos.
Como punto de control prevenido El 9 de julio, “los atacantes están usando archivos especiales de acceso directo a Internet de Windows que, cuando se hace clic en ellos, llaman al Internet Explorer (IE) retirado para visitar la URL controlada por el atacante… Al abrir la URL con IE en lugar del navegador moderno y mucho más seguro Chrome/Edge en Windows, el atacante obtuvo ventajas significativas al explotar la computadora de la víctima, aunque la computadora ejecuta el moderno sistema operativo Windows 10/11”.
Luego, solo unos días después, Trend Micro aumentó el nivel de amenaza, advertencia que la vulnerabilidad “se utilizó como día cero para acceder y ejecutar archivos a través del Internet Explorer deshabilitado usando MSHTML… infectando las máquinas de las víctimas con el ladrón de información Atlantida, que se centra en robar información del sistema y datos confidenciales (como contraseñas y cookies) de varias aplicaciones”.
Tras la revelación de Check Point, el gobierno de Estados Unidos añadió la vulnerabilidad a su Vulnerabilidad de explotación conocida catálogo, advirtiendo a los usuarios que Windows tiene “una vulnerabilidad de suplantación de identidad que tiene un alto impacto en la confidencialidad, integridad y disponibilidad”.
La vulnerabilidad ha sido corregida, los usuarios solo deben asegurarse de que sus PC con Windows estén actualizados. El mandato de CISA significa que los empleados federales de EE. UU. deben aplicar esa actualización antes del 30 de julio o dejar de usar sus PC. Todas las demás organizaciones, e incluso los usuarios domésticos, deberían seguir el ejemplo dado el panorama actual de amenazas de Windows: según Check Point, Trend Micro y CISA, sabemos que esta vulnerabilidad ha sido explotada en la naturaleza. Lo que es más alarmante, Check Point dice que esos ataques han estado ocurriendo durante más de 12 meses.
Microsoft reconoció públicamente que la vulnerabilidad había sido explotada en su actualización de julio y me dijo: “Agradecemos enormemente a Haifei Li (de Check Point) por esta investigación y por informar de manera responsable en el marco de una divulgación de vulnerabilidades coordinada. Los clientes que han instalado la actualización ya están protegidos”.
Check Point me dijo que la vulnerabilidad era “especialmente sorprendente… aprovechando Internet Explorer, que muchos usuarios pueden no saber que está instalado en sus computadoras… Todos los usuarios de Windows (deberían) aplicar inmediatamente el parche de Microsoft para protegerse”.
Irónicamente, CVE-2024-38112 no es la única vulnerabilidad de Internet Explorer que aparece en la lista más peligrosa de CISA este mes. CVE-2012-4792 También ha aparecido recientemente una advertencia específica sobre una vulnerabilidad de memoria de Internet Explorer que se produce cuando el usuario la libera, a pesar de que su estado de fin de vida útil ya no existe. Esta vez, el mandato de la CISA es aún más claro: “El producto afectado ha llegado al fin de su vida útil y debe desconectarse si aún se encuentra en uso”.
El riesgo previo a la actualización para los usuarios de PC lo resume mejor Trend Micro, que lo describió como “un excelente ejemplo de cómo las reliquias de Windows sin soporte son una superficie de ataque ignorada que aún puede ser explotada por actores de amenazas para infectar a usuarios desprevenidos con ransomware, puertas traseras o como un conducto para otros tipos de malware”.
La interrupción del servicio de Windows de este mes, independientemente de su causa, inundó el ciclo de noticias. Si bien el problema de CrowdStrike ha sido doloroso y costoso, no es en sí una amenaza cibernética, aunque los actores maliciosos están claramente aprovechándose de la confusión. La amenaza más silenciosa, según la advertencia de CISA, es exactamente lo opuesto: no sabrá que ha sido atacado hasta que sea demasiado tarde. Por lo tanto, asegúrese de aplicar la actualización, si aún no está instalada.