Microsoft ha cerrado el año con la corrección de un total de 72 vulnerabilidades en su portafolio de software. Entre ellas, se destaca una vulnerabilidad que ya ha sido explotada activamente en el entorno real. De las 72 vulnerabilidades, 17 son calificadas como Críticas, 54 como Importantes, y una como Moderada en severidad. Además, se han abordado múltiples fallos de ejecución remota de código y elevación de privilegios.
Análisis
Entre las 72 vulnerabilidades corregidas, una de las más destacadas es CVE-2024-49138, una vulnerabilidad de escalada de privilegios en el Windows Common Log File System (CLFS) Driver. Esta vulnerabilidad permite que un atacante que la explote con éxito obtenga privilegios de SYSTEM, lo que le da acceso total al sistema afectado. Esta vulnerabilidad tiene una puntuación de CVSS de 7.8 y ha sido identificada como una amenaza activa, lo que significa que ya está siendo explotada en el entorno real.
Es importante destacar que CVE-2024-49138 es la quinta vulnerabilidad de escalada de privilegios en el controlador CLFS que ha sido explotada activamente desde 2022, lo que subraya la relevancia de este componente en los ataques cibernéticos. Microsoft ha implementado mitigaciones adicionales para este tipo de fallos, como la inclusión de Códigos de Autenticación de Mensajes Hash (HMAC) para mejorar la validación de los archivos de registro y evitar modificaciones no autorizadas.
Otra vulnerabilidad de gravedad crítica es CVE-2024-49112, un fallo de ejecución remota de código en el Windows Lightweight Directory Access Protocol (LDAP), con una puntuación CVSS de 9.8. Un atacante no autenticado que explote esta vulnerabilidad podría ejecutar código arbitrario dentro del contexto del servicio LDAP, lo que pone en riesgo la integridad del sistema.
Además, hay otras vulnerabilidades de ejecución remota de código en componentes como Windows Hyper-V (CVE-2024-49117), Remote Desktop Client (CVE-2024-49105), y Microsoft Muzic (CVE-2024-49063), con puntuaciones CVSS de 8.8, 8.4 y 8.4, respectivamente
Recursos afectados
Las versiones afectadas de los productos de Microsoft incluyen una amplia gama de sistemas operativos y aplicaciones. Las vulnerabilidades de escalada de privilegios en el CLFS Driver afectan principalmente a versiones de Windows desde 2022, y el fallo de ejecución remota de código en LDAP impacta en diversas versiones de Windows Server y versiones de cliente.
Microsoft ha actualizado sus productos con parches de seguridad para abordar estos fallos, y se recomienda a todos los usuarios y administradores que apliquen las actualizaciones correspondientes lo antes posible. Además, las vulnerabilidades relacionadas con el protocolo NTLM también se han abordado con mejoras de seguridad como la habilitación de la Protección Extendida para Autenticación (EPA) por defecto.
Recomendaciones
Aplicar las actualizaciones de seguridad de Patch Tuesday de diciembre de 2024. Esto incluye las correcciones para CVE-2024-49138 y CVE-2024-49112, entre otras vulnerabilidades críticas.
Referencias
- https://thehackernews.com/2024/12/microsoft-fixes-72-flaws-including.html
- https://www.tripwire.com/state-of-security/vert-threat-alert-december-2024-patch-tuesday-analysis
- https://www.darkreading.com/application-security/microsoft-zero-day-critical-rces-patch-tuesday
- https://www.cisa.gov/news-events/alerts/2024/12/10/microsoft-releases-december-2024-security-updates
- https://www.bleepingcomputer.com/news/microsoft/microsoft-december-2024-patch-tuesday-fixes-1-exploited-zero-day-71-flaws/