Una vulnerabilidad crítica que afecta a Microsoft SharePoint Server y dos fallas de día cero en la plataforma MSHTML de Windows y la biblioteca principal de Windows Desktop Window Manager (DWM) deberían ser una prioridad para los administradores, ya que Microsoft lanza su actualización mensual del martes de parches que aborda más de 60 errores. y problemas.
La falla de SharePoint Server, que es la única vulnerabilidad crítica en la caída de mayo de 2024, es una vulnerabilidad de ejecución remota de código (RCE) rastreada como CVE-2024-30044. Los detalles aún no se han hecho públicos y tampoco parece haber sido explotado en la naturaleza.
Microsoft dijo que si un atacante autenticado ha obtenido permisos de propietario del sitio, podría explotar CVE-2024-30044 para cargar un archivo especialmente diseñado en el servidor de la víctima y crear solicitudes de interfaz de programación de aplicaciones (API) especializadas para desencadenar la deserialización de los parámetros del archivo. De esta manera, podrían lograr RCE en el contexto del servidor comprometido.
El hecho de que CVE-2024-30044 surja de un problema de deserialización de datos no confiables lo hace particularmente problemático, explicó Mike Walters, presidente y cofundador de Action1, porque permite a los atacantes inyectar y ejecutar código arbitrario durante el proceso de deserialización.
“Un atacante con permisos básicos de Site Viewer podría aprovechar esta vulnerabilidad para ejecutar código de forma remota, permitiendo actividades como implementar web shells, instalar malware o extraer datos confidenciales”, dijo Walters. “Si un atacante obtiene acceso inicial a través de otros medios, como phishing u otra vulnerabilidad, podría usar CVE-2024-30044 para establecer un punto de apoyo más persistente y poderoso dentro de la red.
“Combinar esta vulnerabilidad con otra que permita la escalada de privilegios podría permitir a los atacantes pasar del acceso inicial al control administrativo total”, dijo.
“Esto puede facilitar la persistencia dentro de la red y hacer que la detección sea más desafiante. Al establecer el control, los atacantes podrían utilizar herramientas adicionales para extraer datos confidenciales del servidor SharePoint, lo que podría provocar importantes filtraciones de datos. Además, una vez que se logra la ejecución remota del código, los actores de amenazas podrían implementar ransomware para cifrar archivos críticos en SharePoint Server, exigiendo un rescate por las claves de descifrado”.
Unir e incluir objetos
Las dos fallas de día cero de este mes son CVE-2024-30040, una vulnerabilidad de omisión de característica de seguridad en la plataforma MSHTML de Windows, y CVE-2024-30051, una vulnerabilidad de elevación de privilegios (EoP) en la biblioteca principal DWM de Windows.
En el primero de ellos, Microsoft reveló cómo esencialmente permite que un actor malicioso evite las protecciones de vinculación e incrustación de objetos (OLE) en Microsoft 365 y Microsoft Office al hacer que un usuario cargue un archivo contaminado en un sistema vulnerable a través de un correo electrónico de phishing o un mensaje instantáneo. y convencerlos de que lo manipulen, aunque no necesariamente de que hagan clic en él o lo abran. Esto le daría al atacante no autenticado la capacidad de ejecutar código arbitrario presentándose como la víctima.
Cuckers para Qakbot
Sobre la vulnerabilidad de Windows DWM Core Library, Microsoft dijo que permitiría a un atacante obtener privilegios a nivel de sistema en el sistema de la víctima, pero proporcionó poco contexto o detalles adicionales. Se sabe que proviene de un desbordamiento del buffer basado en el montón, lo que lo hace potencialmente grave, y también puede ser explotado por un usuario local con privilegios relativamente bajos.
De los dos días cero, es CVE-2024-30051 el que ha generado un gran interés entre los expertos cibernéticos, debido a una conexión histórica con una amenaza infame.
Tyler Reguly, director senior de investigación y desarrollo de seguridad de Fortra, explicó: “Este mes todo el mundo hablará de CVE-2024-30051, ya que se sabe que se utiliza en QakBot y otro malware. Esta es una actualización que debe aplicarse lo antes posible dada la naturaleza de la vulnerabilidad y el hecho de que se ha confirmado la explotación en el mundo real”.
Qakbot es un venerable malware bancario que se remonta a más de una década. Últimamente se hizo popular entre los ciberdelincuentes como un troyano de acceso remoto (RAT) utilizado con gran éxito por bandas de ransomware como LockBit y REvil.
Su infraestructura fue derribada en agosto de 2023 en una operación dirigida por el FBI denominada Operación Duck Hunt, pero en febrero de 2024, investigadores del equipo de Sophos X-Ops informaron que alguien con acceso al código fuente de Qakbot parecía estar probando nuevas compilaciones y haciendo esfuerzos concertados para reforzar el cifrado del malware, lo que significa que la nueva variante puede desafiar el análisis de manera más efectiva.
La vulnerabilidad fue descubierta por investigadores de Kaspersky a principios de abril, cuando les llamó la atención un documento sospechoso encontrado en VirusTotal. Escrito en un inglés entrecortado y sin detalles cruciales, el documento insinuaba una posible vulnerabilidad del sistema operativo Windows, pero la cadena de exploits parecía idéntica a la utilizada para activar un día cero anterior, CVE-2023-36033.
Sospechando que la falla era ficticia o una tontería inexplotable, el equipo de Kaspersky decidió investigarla más a fondo y rápidamente encontró e informó el hecho de que CVE-2023-30051 era genuino. Desde entonces, el equipo ha estado monitoreando su uso y dijo hoy que un exploit ha estado circulando desde mediados de abril.
“El documento sobre VirusTotal nos pareció intrigante debido a su naturaleza descriptiva y decidimos investigar más a fondo, lo que nos llevó a descubrir esta vulnerabilidad crítica de día cero”, dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT. “La velocidad con la que los actores de amenazas están integrando este exploit en su arsenal subraya la importancia de las actualizaciones oportunas y la vigilancia en la seguridad cibernética”.
Kaspersky dijo que planea publicar más detalles técnicos de CVE-2024-30051 una vez que haya pasado el tiempo suficiente para que los usuarios vulnerables realicen la actualización.
Walters de Action1 agregó: “Dada su naturaleza crítica y la baja complejidad del exploit, CVE-2024-30051 plantea un riesgo significativo, particularmente en entornos con numerosos y diversos usuarios locales, como redes corporativas e instituciones académicas.
“La existencia de un código de explotación funcional y de informes de explotación confirmados sugiere que los atacantes conocen bien esta vulnerabilidad y la están explotando activamente en campañas”, dijo. “A la luz del alto nivel de privilegios que se puede lograr a través de este exploit, es crucial que las organizaciones prioricen la implementación del software oficial de Microsoft. parche para mitigar daños potenciales”.