Alertas agosto 2024

Desde el CERT del SOC de la Junta de Andalucía les informamos que han sido liberados los parches de seguridad mensuales de Microsoft, <<August 2024 Security Updates>>. Esta actualización incluye 90 parches, entre los que se encuentran más de media docena de vulnerabilidades críticas.

En esta ocasión, desde el CERT nos gustaría destacar las siguientes vulnerabilidades:

• CVE-2024-38189 (Microsoft Project Remote Code Execution Vulnerability): vulnerabilidad del software Microsoft Office Project que podría permitir a un atacante ejecutar código arbitrario si la víctima abre un fichero malicioso especialmente diseñado y no cuenta con ciertas protecciones habilitadas, como bloquear la ejecución de macros de ficheros Office de Internet y la configuración de notificaciones en macros VBA.
• CVE-2024-38178 (Windows Scripting Engine Memory Corruption Vulnerability): vulnerabilidad que podría permitir a un atacante ejecutar código de forma remota si la víctima hace click en un enlace malicioso creado al efecto.
• CVE-2024-38193 (Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability): vulnerabilidad que podría permitir a un atacante obtener permisos de SYSTEM en el equipo afectado.
• CVE-2024-38106 (Windows Kernel Elevation of Privilege Vulnerability): vulnerabilidad que podría permitir a un atacante obtener permisos de SYSTEM en el equipo afectado si se alcanza una condición de carrera.
• CVE-2024-38107 (Windows Power Dependency Coordinator Elevation of Privilege Vulnerability): vulnerabilidad que podría permitir a un atacante obtener permisos de SYSTEM en el equipo afectado.
• CVE-2024-38213 (Windows Mark of the Web Security Feature Bypass Vulnerability): vulnerabilidad que podría permitir a un atacante evadir las protecciones de seguridad de SmartScreen.

Debemos indicarles que todas estas vulnerabilidades están siendo activamente explotadas por los cibercriminales.

Sistemas afectados:

• Windows 8.1
• Windows 10
• Windows 11
• Windows Server 2008
• Windows Server 2012
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022
• Suite Office

Debido al riesgo potencial que presentan estas vulnerabilidades, desde el CERT se recomienda:

Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante.

Pueden encontrar más información en los siguientes enlaces:

• Web de parches: https://msrc.microsoft.com/update-guide
• Release Notes: https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug
• Ejecución remota de comandos en Microsoft Office Project (CVE-2024-38189): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38189
• Corrupción de memoria en Windows Scripting Engine (CVE-2024-38178): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38178
• Elevación de privilegios en Windows Ancillary Function Driver for WinSock (CVE-2024-38193): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38193
• Elevación de privilegios en el kernel de Windows (CVE-2024-38106): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38106
• Elevación de privilegios en Windows Power Dependency Coordinator (CVE-2024-38107): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38107
• Omisión de características de seguridad en Windows Mark of the Web (CVE-2024-38213): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38213
• Bloquear la ejecución de macros en ficheros Office de Internet: https://learn.microsoft.com/en-us/microsoft-365-apps/security/internet-macros-blocked#block-macros-from-running-in-office-files-from-the-internet
• Configuración de notificaciones de macros VBA: https://learn.microsoft.com/en-us/microsoft-365-apps/security/internet-macros-blocked#vba-macro-notification-settings

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.

Desde el CERT del SOC de la Junta de Andalucía les informamos de que recientemente se han hecho públicos los detalles de una vulnerabilidad crítica en el producto VMware ESXi de la empresa Broadcom:

• CVE-2024-37085 (VMware ESXi Active Directory Integration Authentication Bypass): la vulnerabilidad consiste en una omisión de los mecanismos de autenticación en hosts configurados previamente para usar Active Directory (AD) como mecanismo de gestión de usuarios. Un atacante con suficientes permisos en el dominio podría ganar acceso completo a estos hosts.

Desde AndalucíaCERT debemos indicarles que esta vulnerabilidad está siendo activamente explotadas por los cibercriminales.

Productos afectados

• ESXi rama 8.0
• ESXi rama 7.0

Debido al riesgo potencial que presenta esta vulnerabilidad, desde el CERT del SOC de la Junta de Andalucía se recomienda:

Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante. En particular:

• Para la rama 8.0, actualizar a la versión ESXi80U3-24022510.
• Para la rama 7.0 no está prevista la salida de un parche, por lo que deberán considerar otras opciones, como migrar a una rama que cuente con actualizaciones o aplicar posibles mitigaciones.

Posibles mitigaciones

En el caso de que no puedan actualizar de forma inmediata, el fabricante facilita las siguientes mitigaciones:

Cambiar las siguientes opciones avanzadas de ESXi:

• Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd de true a false
• Config.HostAgent.plugins.vimsvc.authValidateInterval de 1440 a 90
• Config.HostAgent.plugins.hostsvc.esxAdminsGroup de "ESX Admins" a ""

Nota: El grupo "ESX Admins" será añadido al host con privilegios de Admin una vez que el host se une al dominio AD. Se recomienda cambiar esa configuración antes de unirse al dominio. Esta configuración toma efecto en menos de un minuto. No se requiere reinicio.

Pueden encontrar más información en las siguientes referencias:

• Boletín VMSA-2024-0013: https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24505
• Secure Default Settings for ESXi Active Directory integration: https://knowledge.broadcom.com/external/article/369707/

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.