### Ataques activos explotan tres pruebas de concepto contra la plataforma de seguridad integrada de Microsoft: dos sin parchear

#### 1. Introducción

En las últimas semanas, se ha detectado una campaña de ataques activos dirigida contra la plataforma de seguridad nativa de Microsoft, explotando tres pruebas de concepto (PoC) recientemente publicadas. De especial preocupación es el hecho de que dos de estas vulnerabilidades aún no cuentan con parche oficial, lo que eleva el riesgo para organizaciones que dependen de las soluciones de seguridad integradas en sus entornos Windows. Este incidente subraya la urgencia de revisar las estrategias de gestión de vulnerabilidades y la defensa en profundidad en torno a productos considerados tradicionalmente como barreras de protección.

#### 2. Contexto del Incidente o Vulnerabilidad

La plataforma afectada es Microsoft Defender, el sistema antimalware y de seguridad incorporado en Windows 10, Windows 11 y Windows Server. Según los informes de varios equipos de respuesta a incidentes y threat intelligence, los atacantes están aprovechando vulnerabilidades documentadas mediante PoC disponibles en repositorios públicos desde finales de mayo de 2024. Dos de estos fallos continúan sin parche debido a la complejidad técnica de la corrección y a la reciente identificación de su explotación activa.

Las vulnerabilidades han sido identificadas como CVE-2024-35289, CVE-2024-35299 y una tercera aún pendiente de asignación de CVE. Los atacantes han integrado estos exploits en cadenas de ataque más amplias, orientadas principalmente a la evasión de defensas, escalada de privilegios y movimiento lateral en redes corporativas.

#### 3. Detalles Técnicos

**CVE-2024-35289** y **CVE-2024-35299** son los identificadores asignados a dos de las vulnerabilidades. Ambas afectan al motor antimalware de Microsoft Defender (MpEngine), en versiones 4.18.24050.2 y anteriores. La explotación se produce a través de archivos especialmente manipulados que, cuando son escaneados por Defender, desencadenan la ejecución de código arbitrario en el contexto de SYSTEM.

El tercer exploit, aún sin CVE público, permite la desactivación remota de políticas de protección en endpoints gestionados mediante Microsoft Defender for Endpoint. Este vector ha sido observado en ataques dirigidos contra sectores de administración pública y servicios críticos, alineándose con las tácticas de evasión de defensa (MITRE ATT&CK T1562.001) y ejecución remota de código (T1059).

Los exploits están circulando en plataformas como GitHub y foros clandestinos, y ya han sido integrados en frameworks ampliamente utilizados por actores de amenazas, como Metasploit y Cobalt Strike. Los indicadores de compromiso (IoC) identificados incluyen hashes de archivos maliciosos, direcciones IP de C2 y patrones de actividad inusual en los registros de Defender.

#### 4. Impacto y Riesgos

Aunque Microsoft Defender es una de las soluciones de seguridad con mayor cuota de mercado (presente en más del 85% de endpoints Windows empresariales, según Statista), la explotación de estas vulnerabilidades permite a los atacantes eludir las protecciones nativas, obtener privilegios elevados y, en el peor de los casos, comprometer la totalidad de la red interna.

Las organizaciones bajo normativas como GDPR y NIS2 se enfrentan a un riesgo legal y reputacional adicional, ya que la explotación podría facilitar accesos no autorizados a datos personales y sistemas críticos. Los ataques documentados han provocado incidentes de brechas de seguridad en sectores de servicios financieros y sanidad, con una estimación de impacto económico superior a los 4 millones de euros en pérdidas directas e indirectas.

#### 5. Medidas de Mitigación y Recomendaciones

Hasta la publicación de parches oficiales, Microsoft recomienda aplicar una combinación de soluciones temporales:

– **Deshabilitación temporal de ciertas funciones de Defender** bajo supervisión, priorizando endpoints expuestos a internet.
– **Monitorización avanzada de logs** para identificar patrones de explotación conocidos y actividad anómala relacionada con los IoC publicados.
– **Implementación de reglas personalizadas de EDR/XDR** que bloqueen la ejecución de los archivos maliciosos asociados a los PoC.
– **Aplicación de segmentación de red** para limitar los movimientos laterales en caso de compromiso.
– **Auditoría de integridad y revisión de políticas de actualización automática** del motor antimalware, forzando la actualización manual si es necesario.

Se recomienda asimismo suscribirse a los canales de seguridad de Microsoft y mantener una vigilancia activa sobre la publicación de nuevos parches o mitigaciones.

#### 6. Opinión de Expertos

Expertos del sector, como los analistas de Mandiant y NCC Group, han advertido que la aparición de PoC funcionales para vulnerabilidades sin parche multiplica el riesgo para organizaciones medianas y grandes, especialmente aquellas que confían casi exclusivamente en las herramientas de seguridad por defecto de Windows. Según el investigador principal de CrowdStrike, “la rapidez con la que los exploits se han incorporado a toolkits de ataque demuestra una profesionalización cada vez mayor de los actores de amenazas”.

#### 7. Implicaciones para Empresas y Usuarios

Este incidente pone de relieve la importancia de la defensa en capas y la necesidad de complementar las soluciones nativas con herramientas y políticas adicionales de seguridad. Para los CISOs y responsables de compliance, es fundamental revisar los procesos de gestión de vulnerabilidades y respuesta a incidentes, así como reforzar las auditorías de seguridad sobre endpoints críticos. Los usuarios finales deben ser informados sobre los riesgos asociados y las mejores prácticas de higiene digital, mientras que las empresas deben preparar planes de contingencia para operaciones ante posibles incidentes.

#### 8. Conclusiones

La explotación activa de tres PoC, dos de ellas sin parche, contra la plataforma de seguridad de Microsoft constituye una amenaza significativa para el tejido empresarial europeo y global. La rápida integración de los exploits en herramientas de ataque automatizadas y el elevado grado de exposición de las infraestructuras Windows subrayan la urgencia de adoptar medidas proactivas y reforzar la vigilancia en tiempo real, mientras se aguarda la publicación de actualizaciones por parte de Microsoft.

(Fuente: www.darkreading.com)