Con el parche del martes de noviembre, Microsoft ha corregido 89 vulnerabilidades en sus productos, dos de las cuales están siendo explotadas activamente. Una de ellas, CVE-2024-43451, es especialmente alarmante.
Permite a los atacantes obtener acceso al hash NTLMv2 de la víctima. Aunque no tiene una calificación impresionante en CVSS 3.1 (solo 6,5 / 6,0), su explotación requiere una interacción mínima por parte del usuario y existe gracias al motor MSHTML (el legado de Internet Explorer), que en teoría está desactivado y ya no se utiliza. Sin embargo, todas las versiones actuales de Windows están afectadas por esta vulnerabilidad.
¿Por qué es tan peligroso CVE-2024-43451?
CVE-2024-43451 permite a un atacante crear un archivo que, una vez enviado al equipo de la víctima, le dará al atacante la posibilidad de robar el hash NTLMv2. NTLMv2 es un protocolo de autenticación de red utilizado en entornos Microsoft Windows. Al tener acceso al hash NTLMv2, un atacante puede realizar un ataque de paso del hash e intentar autenticarse en la red haciéndose pasar por un usuario legítimo, sin tener sus credenciales reales.
Por supuesto, CVE-2024-43451 por sí sola no es suficiente para un ataque en toda regla (los cibercriminales tendrían que usar otras vulnerabilidades), pero el hash NTLMv2 de otra persona facilitaría mucho la vida al atacante. En este momento no tenemos información adicional sobre escenarios que utilicen CVE-2024-43451 en la práctica, pero la descripción de la vulnerabilidad indica claramente que la vulnerabilidad se ha divulgado públicamente y se han detectado casos de explotación en la red.
¿Qué significa “interacción mínima”?
En general, se supone que si un usuario no abre un archivo malicioso, no puede pasar nada malo. En este caso, eso no es cierto. Según la mini-FAQ en el aviso de la guía de actualización de seguridad sobre CVE-2024-43451, la explotación puede ocurrir incluso cuando el usuario selecciona el archivo (un solo clic izquierdo), lo inspecciona (con un clic derecho) o realiza alguna "acción distinta a abrir o ejecutar".
¿Qué otras vulnerabilidades cerraron Microsoft en el parche de noviembre?
La segunda vulnerabilidad que ya está siendo explotada en ataques reales es la CVE-2024-49039. Permite a los atacantes escapar del entorno AppContainer y, como resultado, escalar sus privilegios a un Nivel de Integridad Medio. Además, hay dos agujeros más que la compañía afirma que están divulgados, aunque todavía no se han detectado en ataques reales. Se trata de la CVE-2024-49019 en el Servicio de Certificados de Active Directory, que también permite al atacante elevar privilegios, y la CVE-2024-49040 en Exchange, gracias a la cual se pueden mostrar correos maliciosos con una dirección de remitente falsa.
Además, la vulnerabilidad crítica CVE-2024-43639, que permite la ejecución remota de código en Kerberos, también parece peligrosa, aunque sólo afecta a servidores configurados como servidores de protocolo proxy del Centro de distribución de claves (KDC) Kerberos.
¿Cómo mantenerse a salvo?
Para garantizar la seguridad, recomendamos, en primer lugar, instalar rápidamente las actualizaciones del software crítico (lo que, por supuesto, incluye los sistemas operativos). Además, conviene recordar que la mayoría de los ataques que explotan las vulnerabilidades del software comienzan a través del correo electrónico. Por ello, recomendamos equipar todos los dispositivos de trabajo con una solución de seguridad fiable, sin olvidar la protección a nivel de la puerta de enlace del correo.
