Las últimas vulnerabilidades zero-click conocidas
Posted inInformatica Seguridad Informatica

Las últimas vulnerabilidades zero-click conocidas

No Comments
Spread the love
Listen to this article

Las últimas vulnerabilidades zero-click conocidas son especialmente preocupantes debido a que no requieren interacción del usuario para ser explotadas. Aquí te menciono algunas de las más recientes y destacadas:

  1. CVE-2024-30103: Vulnerabilidad en Microsoft Outlook. Esta vulnerabilidad permite la ejecución remota de código cuando se abre un correo electrónico afectado. Afecta a Outlook 2016, Office LTSC 2021, 365 Apps for Enterprise, y Office 2019. La explotación es posible a través del panel de vista previa, haciendo que la complejidad del ataque sea baja y la explotación en red sea viable. Microsoft la ha calificado como importante, aunque Morphisec la considera crítica debido a su facilidad de explotación y la potencial masificación del ataque​ (SecurityWeek).
  2. CVE-2024-38063: Vulnerabilidad en el protocolo TCP/IP de Windows. Esta falla permite la ejecución remota de código mediante el envío de paquetes IPv6 especialmente diseñados que provocan un desbordamiento de buffer. Afecta a sistemas Windows 10, Windows 11 y Windows Server que tengan habilitado IPv6. La explotación no requiere interacción del usuario y puede llevar a una completa toma de control del sistema comprometido. Microsoft ha lanzado un parche para mitigar esta vulnerabilidad​ (Trustwave MDR).

Estas vulnerabilidades destacan por su capacidad de ser explotadas sin necesidad de que el usuario haga clic en ningún enlace o archivo, lo que las hace extremadamente peligrosas. Es crucial mantener todos los sistemas actualizados y seguir las recomendaciones de seguridad para mitigar estos riesgos.

CVE-2024-30103 es una vulnerabilidad crítica en Microsoft Outlook que permite la ejecución remota de código (RCE) sin requerir interacción del usuario, lo que la clasifica como una vulnerabilidad zero-click. A continuación, te detallo cómo funciona, cómo los atacantes pueden explotarla, cómo puede infectar el sistema y qué pueden hacer los atacantes si logran vulnerar un sistema.

Descripción de la Vulnerabilidad

  • Nombre: CVE-2024-30103
  • Gravedad: Crítica
  • Tipo: Ejecución Remota de Código (RCE)
  • Productos Afectados: Microsoft Outlook 2016, Office LTSC 2021, Office 365 Apps for Enterprise, Office 2019

Funcionamiento y Explotación

  1. Vector de Ataque: La vulnerabilidad se explota a través del envío de un correo electrónico especialmente diseñado a la víctima.
  2. Infección: No se requiere que el usuario haga clic en un enlace o abra un archivo adjunto. La vulnerabilidad se puede activar cuando el correo electrónico se previsualiza en el panel de vista previa de Outlook.
  3. Mecanismo: El correo electrónico malicioso contiene un payload que aprovecha una falla en el manejo de ciertos elementos del correo electrónico por parte de Outlook. Al previsualizar el correo, Outlook procesa estos elementos y ejecuta el código malicioso embebido.
  4. Acciones del Atacante: Una vez que el código malicioso se ejecuta, el atacante puede obtener control remoto del sistema comprometido. Esto puede incluir descargar malware adicional, robar información sensible, o utilizar el sistema como un punto de entrada para lanzar ataques adicionales en la red.

Impacto

  • Robo de Información: El atacante puede acceder a correos electrónicos, archivos y otras informaciones almacenadas en el sistema comprometido.
  • Instalación de Malware: El atacante puede instalar malware adicional, como keyloggers, ransomware, o troyanos, para mantener el acceso y continuar explotando el sistema.
  • Control Remoto: El atacante puede utilizar el sistema comprometido para moverse lateralmente dentro de la red, comprometiendo otros sistemas y obteniendo un control más amplio de la infraestructura de la organización.

Mitigaciones

  1. Aplicar Parches de Seguridad: Microsoft ha lanzado un parche de seguridad para esta vulnerabilidad. Es crucial aplicarlo lo antes posible.
  2. Deshabilitar Vista Previa Automática: Configurar Outlook para que no previsualice automáticamente los correos electrónicos puede reducir el riesgo.
  3. Usar Software de Seguridad: Mantener actualizado el software antivirus y antimalware para detectar y bloquear correos electrónicos maliciosos.
  4. Capacitación del Usuario: Educar a los usuarios sobre los riesgos de abrir correos electrónicos de remitentes desconocidos y cómo identificar correos potencialmente peligrosos.

Conclusión

CVE-2024-30103 es una vulnerabilidad extremadamente peligrosa debido a su naturaleza zero-click, lo que significa que no requiere ninguna acción por parte del usuario para ser explotada. Mantener el software actualizado y seguir buenas prácticas de seguridad son esenciales para protegerse contra este tipo de amenazas.

Para más detalles, puedes consultar la fuente original del reporte: Morphisec Blog.

Detalles de CVE-2024-38063

Nombre: CVE-2024-38063
Gravedad: Crítica (CVSS 9.8)
Tipo de Vulnerabilidad: Ejecución Remota de Código (RCE)
Productos Afectados: Sistemas Windows (Windows 10, Windows 11, Windows Server) que utilicen IPv6

Descripción y Funcionamiento

CVE-2024-38063 es una vulnerabilidad en el protocolo TCP/IP de Windows que permite a un atacante ejecutar código arbitrario de manera remota sin necesidad de interacción del usuario, lo que la clasifica como una vulnerabilidad zero-click. A continuación, se explica en detalle cómo funciona y cómo puede ser explotada:

Vector de Ataque

  1. Paquetes IPv6 Especialmente Diseñados: El ataque se realiza enviando paquetes IPv6 que han sido manipulados para explotar una vulnerabilidad de desbordamiento de buffer en el manejo de estos paquetes por el sistema operativo.
  2. Sin Interacción del Usuario: Debido a que el protocolo de red se maneja en el núcleo del sistema operativo, no se requiere que el usuario realice ninguna acción específica (como abrir un archivo o hacer clic en un enlace) para que el ataque tenga éxito.
  3. Ejecución de Código Remoto: Al recibir los paquetes maliciosos, el sistema vulnerable procesa los datos y, debido al desbordamiento de buffer, permite al atacante inyectar y ejecutar código arbitrario con privilegios del sistema.

Proceso de Infección

  1. Identificación de un Sistema Vulnerable: El atacante primero identifica un sistema que tenga habilitado el protocolo IPv6.
  2. Envío de Paquetes Maliciosos: El atacante envía una serie de paquetes IPv6 diseñados para explotar la vulnerabilidad.
  3. Desbordamiento de Buffer: Estos paquetes causan un desbordamiento de buffer en el proceso de manejo de IPv6 del sistema operativo.
  4. Ejecución de Código: El desbordamiento permite que el código malicioso inyectado en los paquetes sea ejecutado por el sistema vulnerable, otorgando al atacante control sobre el sistema.

Impacto y Potenciales Consecuencias

  • Control Total del Sistema: El atacante puede obtener control total sobre el sistema comprometido, incluyendo la capacidad de ejecutar comandos arbitrarios, instalar software malicioso, robar información, y modificar o borrar datos.
  • Persistencia del Ataque: El atacante puede establecer mecanismos de persistencia para mantener el control sobre el sistema a largo plazo, incluso después de reinicios.
  • Expansión Lateral: Desde el sistema comprometido, el atacante puede intentar moverse lateralmente a otros sistemas dentro de la misma red, aumentando el alcance del ataque.

Medidas de Protección y Mitigación

  1. Aplicar Parches de Seguridad: Microsoft ha lanzado un parche de seguridad para mitigar esta vulnerabilidad. Es fundamental aplicar este parche lo antes posible en todos los sistemas afectados.
  2. Deshabilitar IPv6: Si el parche no puede aplicarse de inmediato, se recomienda deshabilitar IPv6 en los sistemas donde no sea necesario, ya que esta vulnerabilidad sólo afecta a sistemas con IPv6 habilitado.
  3. Monitorización de Red: Implementar soluciones de monitorización para detectar actividades sospechosas relacionadas con el tráfico IPv6.
  4. Configuración de Firewall: Configurar reglas de firewall para limitar el tráfico IPv6 entrante y saliente a lo estrictamente necesario.

Conclusión

CVE-2024-38063 representa una seria amenaza para la seguridad de los sistemas Windows debido a su naturaleza zero-click y al potencial impacto crítico de su explotación. Es esencial que los administradores de sistemas implementen las medidas de mitigación recomendadas y mantengan sus sistemas actualizados para protegerse contra esta vulnerabilidad.

Para más información, puedes consultar la fuente original en Trustwave​ (Trustwave MDR).

0 0 votos
Article Rating
Suscribir
Notificar de
guest
0 Comments
Más antiguo
La mas nueva Más votado
Comentarios en línea
Ver todos los comentarios