Vulnerabilidades en Windows CVE-2024-38080, CVE-2024-38112 (Altas)
Microsoft publicó actualizaciones de seguridad en el pasado “Patch Tuesday” del mes de Julio del 2024 y con esto se parcharon 142 vulnerabilidades de seguridad, entre todas estas vulnerabilidades se parcharon 2 de tipo zero-day que ya estaban siendo explotadas por atacantes. [4]
Vulnerabilidad CVE-2024-38080 afecta a la tecnología de virtualización de Microsoft Windows Hyper-V, esta permite a los atacantes ejecutar código de manera privilegiada a nivel sistema en los sistemas que son afectados, los sistemas que se pueden vulnerar son los que ejecuta Windows y Windows Server, las versiones afectadas para dichos sistemas son las que se muestran en la siguiente tabla: [2]
|
Sistema |
Version |
|
Windows |
Windows_11_21h2 hasta la versión 10.0.22000.3079 sin incluirla |
|
Windows_11_22_h2 hasta la versión 10.0.22621.3880 sin incluirla |
|
|
Windows_11_23_h2 hasta la versión 10.0.22631.3880 sin incluirla |
|
|
Windows server |
Windows_server_2022 hasta la versión 10.0.20348.2582 sin incluirla |
|
Windows_server_2022_23h2 hasta la versión 10.0.25398.1009 sin incluirla |
Tabla de versiones afectadas por la vulnerabilidad CVE-2024-38080 [3]
Aunque Microsoft dio a conocer que se requiere de acceso local para empezar a explotar la falla, no se dieron más detalles, pero esta vulnerabilidad es muy útil para el ransomware. [4]
Vulnerabilidad CVE-2024-38112: Afecta a la plataforma MSHTML de Windows (También conocido como motor de navegador Trident), la CVE-2024-38112 es una vulnerabilidad de suplantación de identidad, esta se puede activar con un archivo HTML especialmente diseñado. Existen casos en los que ya se a explotado esta CVE como es el caso del grupo de APT Void Banshee que ha estado explotándola solo convenciendo a un usuario de hacer clic en enlaces maliciosos. [2][1]
Trend Micro una empresa de seguridad fue la responsable de observar quela vulnerabilidad CVE-2024-38112 se utilizo como parte de una cadena de ataque en etapas la cual utilizaba archivos de acceso a internet especialmente diseñados.[1]
Las cadenas de ataque hacen uso de correos electrónicos para el spear-pishing en los cuales incrustan archivos ZIP que se alojan en sitios de intercambio de archivos los cuales contienen URL que explotan CVE-2024-38112 para así redirigir a la víctima a un sitio el cual está comprometido y esta aloja una aplicación HTML (HTA) maliciosa.[1]
Al abrir el archivo HTA, inmediatamente se empezará a ejecutar un script en lenguaje de Visual Basic que, realiza las acciones de descargar y ejecutar un script de Powershell, este script de PowerShell recupera troyanos .NET que por último utiliza el proyecto de Shellcode Donut para descifrar y ejecutar el ladrón Atlantida dentro del proceso de memoria RegAsm.exe. [1]
Imagen Ilustrativa del proceso de la explotación de la vulnerabilidad
Recomendaciones
-
Auditar herramientas de acceso remoto.
-
Revisar logs para de ejecución de software de acceso remoto.
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad.
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque.
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- [1] The Hacker News (2024 Julio 16) Void Banshee APT Exploits Microsoft MHTML Flaw to Spread Atlantida Stealer recuperado el 16 de Julio de 2024 en: https://thehackernews.com/2024/07/void-banshee-apt-exploits-microsoft.html.
- [2] Vijayan, J. (2024 Julio 9) Attackers Already Exploiting Flaws in Microsoft's July Security Update. Recuperado el 16 de Julio de 2024 en: https://www.darkreading.com/application-security/attackers-already-exploiting-flaws-in-microsofts-july-security-update
- [3] NIST CF. (2024 Julio 9) CVE-2024-38080 Detail. Recuperado el 16 de julio de 2024 en: https://nvd.nist.gov/vuln/detail/CVE-2024-38080#range-13127360
- [4] Zorz, Z. (2024 Julio 9) Microsoft fixes two zero-days exploited by attackers (CVE-2024-38080, CVE-2024-38112). Recuperado el 16 de Julio de 2024 en: Microsoft corrige dos errores de día cero aprovechados por los atacantes (CVE-2024-38080, CVE-2024-38112) - Ayuda Net Security (helpnetsecurity.com)
