Cuando un gigante tecnológico publica un parche y etiqueta una vulnerabilidad como «difícil de explotar», la comunidad de administradores de sistemas tiende a respirar aliviada y, en ocasiones, a relajar la prioridad de la actualización. Sin embargo, la realidad acaba de golpear con fuerza a los entornos de Windows para empresas.
Lo que el pasado mes de octubre parecía un problema técnico menor y que ya estaba resuelto, ha vuelto esta semana, estallando como un problema de seguridad activa importante. Tanto es así que el Gobierno de Estados Unidos se ha visto obligado a emitir una orden de emergencia.
La protagonista de esta crisis es Microsoft Configuration Manager (anteriormente conocido como SCCM). Este software es el que permite a los departamentos de TI de las empresas administrar, actualizar y controlar grandes flotas de servidores y estaciones de trabajo. Ahora, se ha confirmado que una vulnerabilidad crítica en este sistema, identificada como CVE-2024-43468, está siendo explotada activamente, a pesar de que ya parecía solucionada.
Error poco probable en Windows
Para entender la gravedad del asunto, hay que remontarse a octubre de 2024. Microsoft lanzó una actualización de seguridad para corregir este fallo, una vulnerabilidad de inyección SQL descubierta por la empresa de seguridad Synacktiv. Este error permite a un hacker, sin necesidad de autenticación, es decir, sin tener usuario ni contraseña, ejecutar código arbitrario y comandos en el servidor con los privilegios más altos posibles.
Por tanto, si un experto en este tipo de ataques explota el fallo, podrá adueñarse de ese servidor y, por extensión, puede comprometer toda la red de ordenadores que ese servidor administra.
Sin embargo, en aquel momento, hace ya casi año y medio. Microsoft etiquetó la vulnerabilidad con la calificación de «explotación poco probable». Según explicaron sus ingenieros, un atacante tendría «dificultades para crear el código necesario», requiriendo una experiencia técnica muy avanzada o una sincronización sofisticada para lograr su objetivo. Esta etiqueta suele hacer que muchos equipos de TI pospongan la actualización frente a otras más urgentes. El tiempo ha demostrado que esa evaluación fue, desgraciadamente, demasiado optimista.
La situación cambió radicalmente a finales de noviembre, cuando los investigadores de Synacktiv compartieron públicamente una prueba de concepto (PoC) demostrando cómo explotar el fallo.
Al hacerse público el manual de instrucciones sobre cómo aprovechar la vulnerabilidad CVE-2024-43468, la barrera de entrada para los ciberdelincuentes desapareció. Lo que antes requería de un trabajo muy experto y exacto, ahora estaba al alcance de grupos de ransomware y delincuentes que solo tenían que adaptar el código publicado. Casi dos meses después del parche oficial, la teoría se ha llevado a la práctica y los ataques han comenzado a proliferar en el mundo real.
Límite 5 de marzo
La confirmación definitiva de que la situación está fuera de control ha llegado a través de la CISA (Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU.). Según informa el medio especializado BleepingComputer, la agencia ha añadido esta vulnerabilidad a su catálogo de «fallos explotados conocidos» (KEV), lo que implica que tienen evidencia forense de que se está usando para atacar organizaciones.
La reacción ha sido contundente, con la CISA emitiendo una operativa vinculante (BOD 22-01), ordenando a todas las agencias federales del poder ejecutivo civil que aseguren sus sistemas antes del próximo 5 de marzo. Por tanto, ordena que, si no se aplica el parche inmediatamente, se debe desconectar el producto de la red.
«Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y plantean riesgos significativos para la empresa federal», advierte la agencia estadounidense en su comunicado. Y aunque la orden legal solo aplica a las agencias federales, el mensaje para el sector privado es un grito de advertencia, puesto que si el gobierno de EE.UU. está dándose prisa para parchearlo, tu empresa debería haberlo incluso antes.
Fuente: BleepingComputer | adslzone
