Microsoft ha publicado actualizaciones de seguridad para 71 vulnerabilidades en su lanzamiento del Patch Tuesday de diciembre de 2024.
Entre ellas hay 16 vulnerabilidades críticas y un día cero que afecta al sistema de archivos de registro común de Windows (CVE-2024-49138). El 0 day fue identificado por el equipo de investigación avanzada de CrowdStrike Counter Adversary Operations.
Diciembre de 2024 Análisis de riesgos
Este mes, el principal tipo de riesgo por técnica de explotación es la ejecución remota de código (RCE), con un 42%, seguida de la elevación de privilegios (38%).
Figura 1. Desglose de las técnicas de explotación del martes de parches de diciembre de 2024
Microsoft Windows recibió el mayor número de parches este mes, con 58, seguido de ESU (27) y Microsoft Office (10).
Figura 2. Desglose de las familias de productos afectadas por el parche del martes de diciembre de 2024
Vulnerabilidad 0 day (CVE-2024-49138) con Exploit activo
CVE-2024-49138 es una vulnerabilidad de escalada de privilegios en el controlador Microsoft Windows Common Log File System (CLFS), clasificada como Importante en gravedad. CrowdStrike Counter Adversary Operations descubrió y comunicó en privado esta vulnerabilidad a Microsoft, que posteriormente reconoció, parcheó y confirmó su explotación activa en la naturaleza.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2024-49138 | Windows Common Log File System Elevation of Privilege Vulnerability |
Cuadro 1. 0 day en Microsoft Windows
Tres vulnerabilidades críticas en el cliente LDAP (Lightweight Directory Access Protocol)
CVE-2024-49112 es una vulnerabilidad RCE crítica que afecta al cliente LDAP de Windows con una puntuación CVSS de 9,8. Esta vulnerabilidad podría permitir a un atacante sin privilegios ejecutar código arbitrario en un servidor Active Directory enviando un conjunto especializado de llamadas LDAP al servidor. Microsoft recomienda que todos los servidores de Active Directory estén configurados para no aceptar llamadas a procedimientos remotos (RPC) procedentes de redes no fiables, además de parchear esta vulnerabilidad. Debido a la facilidad de explotación y al riesgo significativo que esta vulnerabilidad supone para el entorno de Active Directory, debe mitigarse y parchearse rápidamente.
CVE-2024-49124 es una vulnerabilidad RCE crítica que afecta al cliente LDAP de Windows con una puntuación CVSS de 8,1. La explotación exitosa de esta vulnerabilidad permitiría a un atacante remoto no autenticado utilizar un paquete especialmente diseñado para aprovechar un protocolo criptográfico dentro de Windows Kerberos para llevar a cabo RCE.
CVE-2024-49127 es una vulnerabilidad RCE crítica en el cliente LDAP de Windows con una puntuación CVSS de 8,1. Un atacante no autenticado podría utilizar un paquete especialmente diseñado para aprovechar el protocolo criptográfico dentro de Kerberos de Windows para llevar a cabo un RCE. Un atacante no autenticado podría enviar una solicitud especialmente diseñada a un servidor vulnerable. La explotación exitosa de esta vulnerabilidad requiere que un atacante gane una condición de carrera, que podría entonces permitir al atacante ejecutar código en la cuenta SYSTEM.
| Severity | CVSS Score | CVE | Description |
| Critical | 9.8 | CVE-2024-49112 | Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability |
| Critical | 8.1 | CVE-2024-49124 | Windows Lightweight Directory Access Protocol (LDAP) Client Remote Code Execution Vulnerability |
| Critical | 8.1 | CVE-2024-49127 | Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability |
Tabla 2. Vulnerabilidades críticas en Windows Lightweight Directory Access Protocol (LDAP)
Una vulnerabilidad crítica en Windows Hyper-V
CVE-2024-49117 es una vulnerabilidad RCE crítica que afecta a Windows Hyper-V con una puntuación CVSS de 8,8. Esta vulnerabilidad requeriría un atacante autenticado en una máquina virtual invitada (VM) para enviar solicitudes de operación de archivos especialmente diseñados en la VM a los recursos de hardware en la VM, lo que podría resultar en RCE en el servidor host. Esta vulnerabilidad, aunque se describe como «remota», en realidad requiere acceso local para explotarla. Permite la ejecución de código arbitrario, pero el punto final vulnerable sólo es accesible a través de la interfaz local de la máquina virtual, lo que significa que un atacante ya debe tener acceso a la máquina local para llevar a cabo el ataque.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.8 | CVE-2024-49117 | Windows Hyper-V |
Tabla 3. Vulnerabilidad crítica en Windows Hyper-V
Dos vulnerabilidades críticas en Microsoft Message Queueing
CVE-2024-49118 y CVE-2024-49122 son vulnerabilidades RCE críticas que afectan a Microsoft Message Queuing (MSMQ) y ambas tienen una puntuación CVSS de 8,1. La explotación exitosa de estas vulnerabilidades requiere que un atacante gane una condición de carrera. Un atacante necesitaría enviar un paquete MSMQ malicioso especialmente diseñado a un servidor MSMQ. Esto podría resultar en RCE en el lado del servidor.
MSMQ ha sido destacado en anteriores blogs de CrowdStrike Patch Tuesday y continúa viendo vulnerabilidades reveladas. MSMQ representa un objetivo atractivo para los atacantes debido a su uso prevalente de servicios de alta disponibilidad como Active Directory. El servicio de cola de mensajes de Windows debe estar habilitado, y el tráfico de red permitido en el puerto TCP 1801, para que un atacante pueda explotar con éxito esta vulnerabilidad en un sistema objetivo. Además de aplicar parches, Microsoft recomienda comprobar si el servicio «Message Queuing» está en ejecución y el puerto TCP 1801 está a la escucha en la máquina; si el servicio está en ejecución y no se utiliza, considere la posibilidad de deshabilitarlo.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.1 | CVE-2024-49118 | Microsoft Message Queuing Remote Code Execution Vulnerability |
| Critical | 8.1 | CVE-2024-49122 | Microsoft Message Queuing Remote Code Execution Vulnerability |
Tabla 4. Vulnerabilidades críticas en Microsoft Message Queueing (MSMQ)
Vulnerabilidad crítica en el servicio de subsistema de autoridad de seguridad local de Windows (LSASS)
CVE-2024-49126 es una vulnerabilidad RCE crítica que afecta a Windows Local Security Authority Subsystem Service (LSASS) con una puntuación CVSS de 8.1. La explotación exitosa de esta vulnerabilidad requiere que un atacante gane una condición de carrera. Esta vulnerabilidad permite a un atacante ejecutar remotamente código arbitrario en un servidor sin requerir privilegios especiales o interacción del usuario. El atacante puede explotar esta debilidad a través de una llamada de red, ganando potencialmente el control sobre el servidor mediante la ejecución de código malicioso en el contexto de la cuenta del servidor.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.1 | CVE-2024-49126 | Windows Local Security Authority Subsystem Service (LSASS) |
Cuadro 5. Vulnerabilidad crítica en Windows Local Security Authority Subsystem Service (LSASS)
Nueve vulnerabilidades críticas en los servicios de escritorio remoto de Windows
Las nueve vulnerabilidades siguientes son vulnerabilidades RCE críticas que afectan a los Servicios de Escritorio remoto de Windows, y todas tienen una puntuación CVSS de 8,1. Un atacante podría explotar con éxito estas vulnerabilidades conectándose a un sistema con el rol Remote Desktop Gateway, desencadenando una condición de carrera para crear un escenario de uso después de libre, y luego aprovechando esto para ejecutar código arbitrario.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.1 | CVE-2024-49106 | Windows Remote Desktop Services Remote Code Execution Vulnerability |
| CVE-2024-49108 | |||
| CVE-2024-49115 | |||
| CVE-2024-49116 | |||
| CVE-2024-49119 | |||
| CVE-2024-49120 | |||
| CVE-2024-49123 | |||
| CVE-2024-49128 | |||
| CVE-2024-49132 |
Tabla 6. Vulnerabilidades críticas en los Servicios de Escritorio Remoto de Windows