Los atacantes están explotando activamente hasta seis de las 90 vulnerabilidades que Microsoft reveló en su actualización de seguridad de agosto, lo que las convierte en una prioridad para los administradores este martes de parches.
Otros cuatro CVE en la actualización de Microsoft Se conocían públicamente antes de la divulgación del 13 de agosto, lo que también los convierte en una especie de día cero, aunque los atacantes aún no han comenzado a explotarlos. Entre ellos, un error de elevación de privilegios (EoP) en Windows Update Stack, identificado como CVE-2024-38202, Es particularmente preocupante porque Microsoft aún no tiene un parche para ello.
Zero-Day sin parches
Según Microsoft, la falla no corregida permite a un atacante con “privilegios de usuario básicos reintroducir vulnerabilidades mitigadas previamente o eludir algunas características de la seguridad basada en virtualización (VBS). La empresa ha evaluado el error como de gravedad moderada porque un atacante tendría que engañar a un administrador o usuario con permisos delegados para que realice una restauración del sistema.
Sin embargo, Scott Caveza, ingeniero de investigación de personal de Tenable, dice que si un atacante encadenara CVE-2024-38202 con CVE-2024-21302 (una falla de EoP en la actualización actual que afecta al kernel seguro de Windows), podrían revertir las actualizaciones de software sin la necesidad de interacción con un usuario privilegiado. “CVE-2024-38202 requiere 'interacción adicional por parte de un usuario privilegiado', según Microsoft”, dice. “Sin embargo, el encadenamiento de CVE-2024-21302 permite a un atacante degradar o revertir versiones de software sin la necesidad de interacción de una víctima con privilegios elevados”.
Caveza dice que cada vulnerabilidad puede ser explotada por separado, pero cuando se combinan, podrían tener potencialmente un impacto más significativo.
En total, siete de los errores que Microsoft reveló esta semana están clasificados como críticos. La compañía calificó 79 CVE (incluidos los días cero que los atacantes están explotando activamente) como “importantes” o de gravedad media, porque implican algún nivel de interacción del usuario u otro requisito para que un atacante los explote. “Si bien este no es el lanzamiento más grande, es inusual ver tantos errores listados como públicos o bajo ataque activo en un solo lanzamiento”, dijo Dustin Childs, director de concienciación de amenazas en la Zero Day Initiative (ZDI) de Trend Micro. en una entrada de blog.
Días cero bajo explotación activa
Dos de las vulnerabilidades bajo ataque activo permiten la ejecución remota de código (RCE) en los sistemas afectados. Una de ellas, CVE-2024-38189afecta a Microsoft Project Remote Code e impacta a las organizaciones que han deshabilitado el Configuración de notificaciones de macros de VBA En sus sistemas, un atacante podría ejecutar código arbitrario de forma remota si logra convencer a un usuario de que abra un archivo malicioso de Microsoft Office Project. “Es realmente extraño ver un error de ejecución de código en Project, pero no solo tenemos uno aquí, sino que está siendo explotado”, dijo Childs. “En su mayor parte, se trata del típico error de “abrir y abrir”, pero en este caso, el objetivo permite que se ejecuten macros desde Internet”.
El otro RCE de día cero en la última actualización de Microsoft es CVE-2024-38178, Una vulnerabilidad de corrupción de memoria en Windows Scripting Engine Memory o Script Host. “Para explotar con éxito esta vulnerabilidad, el atacante debe preparar primero el objetivo para que utilice Edge en modo Internet Explorer: el usuario tendría que hacer clic en una URL especialmente diseñada para verse comprometido por el ataque”, afirmó Microsoft.
Kev Breen, director de investigación de amenazas en Immersive Labs, dijo que si bien IE no es el modo predeterminado para la mayoría de los usuarios en la actualidad, el hecho de que los atacantes estén explotando activamente la falla sugiere que hay organizaciones que utilizan esta configuración. “El modo Internet Explorer se utiliza cuando los sitios web o aplicaciones antiguos se crearon específicamente para Internet Explorer y no son compatibles con los navegadores HTML5 modernos, como los navegadores basados en Chromium”, dijo Breen en una declaración enviada por correo electrónico. “Para estos sitios y aplicaciones, las organizaciones o los usuarios pueden habilitar este modo heredado para mantener la compatibilidad con estas aplicaciones”, y, por lo tanto, podrían estar en riesgo debido a la falla recientemente revelada.
Tres de los días cero en esta actualización que los atacantes están explotando activamente: CVE-2024-38106, CVE-2024-38107y CVE-2024-38193 — permitir un ataque para elevar los privilegios al estado de administrador del sistema.
Entre ellos, CVE-2024-38106 es especialmente grave porque existe en el núcleo de Windows. “El problema fundamental con CVE-2024-38106 surge de una condición de carrera combinada con un manejo inadecuado de la memoria dentro del núcleo de Windows”, dijo Mike Walters, presidente y director ejecutivo de Action 1, en comentarios enviados por correo electrónico. “Los datos confidenciales, que deberían estar protegidos en una memoria bloqueada, son vulnerables en cambio en una región accesible y modificable”, si un atacante puede ganar una condición de carrera con una sincronización precisa.
CVE-2024-38107 en Windows Power Dependency y CVE-2024-38193 en Windows Ancillary Function Driver for WinSock también permiten a los atacantes obtener privilegios a nivel de sistema. Las tres fallas de EoP afectan a diferentes componentes centrales del sistema operativo, dijo Breen. “Un atacante ya tendría que haber obtenido la ejecución de código en la máquina víctima, ya sea a través de un movimiento lateral u otro exploit, por ejemplo, un documento malicioso”, para aprovechar las fallas.
El otro día cero que se encuentra activo es CVE-2024-38213, Un fallo que permite a los atacantes eludir las protecciones de seguridad de Windows Mark of the Web (MoTW). El fallo es similar a otras vulnerabilidades similares en MoTW y ofrece a los atacantes una forma de introducir archivos maliciosos y contenido web en entornos empresariales sin que se marquen como no confiables. “Esta vulnerabilidad no se puede explotar por sí sola”, dijo Breen, “y normalmente se considera como parte de una cadena de explotación, por ejemplo, modificando un documento malicioso o un archivo exe para incluir esta omisión antes de enviar el archivo por correo electrónico o distribuirlo en sitios web comprometidos”.
