Una vulnerabilidad de día cero recientemente descubierta en los sistemas Windows, CVE-2024-43451, está siendo explotada activamente por presuntos piratas informáticos rusos para atacar organizaciones en Ucrania.
Esta falla de día cero fue identificada por analistas de seguridad de ClearSky Cyber Security en junio de 2024 y permite a los atacantes obtener acceso no autorizado a los sistemas con una mínima interacción del usuario.
CVE-2024-43451 es una vulnerabilidad de suplantación de identidad de divulgación de hash NTLM que puede desencadenarse mediante acciones aparentemente inocuas.
Haga clic derecho en el archivo malicioso una vez. Elimine el archivo (para Windows 10/11). Mueva el archivo a otra carpeta (para ciertas versiones de Windows).
Los investigadores de ClearSky Cyber Security dicen que, si se explota, esta vulnerabilidad de día cero podría exponer el hash NTLMv2 de un usuario, que un atacante podría usar para autenticarse como usuario y moverse lateralmente dentro de la red.
Guía gratuita definitiva de supervisión continua de la seguridad: descárguela aquí (PDF)
Método de ataque
El ataque comienza con un correo electrónico de phishing que contiene un hipervínculo para descargar un archivo de acceso directo a Internet. Este archivo está alojado en un servidor comprometido del gobierno ucraniano. Una vez que el usuario interactúa con el archivo, se activa la vulnerabilidad y establece una conexión con el servidor del atacante.
El exploit descarga malware adicional, incluido SparkRAT, una herramienta de acceso remoto de código abierto que permite a los atacantes tomar el control de los sistemas comprometidos de forma remota.
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) atribuye estos ataques al grupo de amenazas UAC-0194, que se cree que es ruso. La campaña se dirige principalmente a organizaciones en Ucrania, destacando la guerra cibernética en curso en la región.
Microsoft parchó CVE-2024-43451 como parte de la actualización del parche del martes de noviembre de 2024. Esta vulnerabilidad afecta a todas las versiones de Windows compatibles, desde Windows 10 y posteriores hasta Windows Server 2008 y posteriores.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agrega CVE-2024-43451 a su catálogo de vulnerabilidades explotadas conocidas y exige que las agencias federales protejan los sistemas vulnerables antes del 3 de diciembre de 2024. Lo hice obligatorio.
Se recomienda encarecidamente a los usuarios y organizaciones que apliquen actualizaciones de seguridad de inmediato para reducir el riesgo que plantea esta vulnerabilidad de día cero explotada activamente.
Análisis GRATUITO ILIMITADO de phishing y malware con ANY.RUN: prueba gratuita de 14 días.
