AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Microsoft corrige la vulnerabilidad de escalada de privilegios ‘RoguePlanet’ en Defender (CVE-2024-50656)

Introducción

Microsoft ha publicado una actualización crítica para su Malware Protection Engine, subsanando la vulnerabilidad de escalada de privilegios identificada como CVE-2024-50656, apodada ‘RoguePlanet’. Este fallo, que afecta a Microsoft Defender y otros productos relacionados, ponía en riesgo la integridad de los sistemas Windows mediante la posibilidad de que un atacante local obtuviera privilegios elevados. La corrección, llegada a través de una actualización automática del motor antimalware, es especialmente relevante para equipos que dependen de Defender como primera línea de defensa.

Contexto del Incidente

La vulnerabilidad fue reportada recientemente y afecta a la arquitectura de Microsoft Malware Protection Engine anterior a la versión 1.1.24050.2. Defender, integrado de forma nativa en la mayoría de versiones Windows soportadas —incluyendo Windows 10, Windows 11 y variantes de Windows Server—, se ha convertido en un pilar fundamental de la estrategia de seguridad para millones de endpoints empresariales y domésticos.

La explotación de CVE-2024-50656 permite a un atacante local escalar privilegios desde una cuenta con permisos bajos hasta SYSTEM, comprometiendo así completamente el host afectado. Dada la criticidad del motor de protección y su elevado nivel de privilegios en el sistema, la vulnerabilidad es especialmente sensible para administradores de sistemas, analistas SOC y responsables de ciberseguridad.

Detalles Técnicos

CVE-2024-50656 reside en el procesamiento inadecuado de archivos específicos por parte del motor antimalware de Microsoft. Un atacante local podría aprovechar esta debilidad depositando archivos especialmente diseñados en ubicaciones monitorizadas por Defender. Cuando el motor analiza estos archivos, la explotación exitosa podría permitir la ejecución de código arbitrario con privilegios SYSTEM.

El ataque se encuadra dentro de la táctica “Privilege Escalation” y la técnica “Exploitation for Privilege Escalation” (T1068) del framework MITRE ATT&CK. Los indicadores de compromiso (IoC) asociados incluyen la presencia de archivos manipulados en carpetas de análisis y eventos de ejecución anómalos en los registros de Defender.

Hasta la fecha, no se han publicado exploits funcionales en frameworks públicos como Metasploit o Cobalt Strike, pero la documentación técnica disponible permitiría a un actor con conocimientos avanzados desarrollar una prueba de concepto (PoC) en poco tiempo. De acuerdo con Microsoft, la vulnerabilidad tiene una puntuación CVSS de 7.8, calificándola como “alta”.

Impacto y Riesgos

El riesgo principal reside en la posibilidad de que un atacante, tras obtener acceso a una cuenta estándar (por ejemplo, mediante spear phishing o explotación de otras vulnerabilidades), eleve sus privilegios a SYSTEM. Esto le permitiría instalar rootkits, desactivar medidas de seguridad, acceder a información sensible o moverse lateralmente en redes corporativas.

Aunque Microsoft no ha confirmado casos de explotación activa, la facilidad de explotación y el hecho de que el motor de Defender esté presente en más del 80% de los endpoints empresariales basados en Windows incrementan el riesgo. Organizaciones con infraestructuras críticas, según la directiva NIS2 y los requisitos de GDPR, deben considerar este incidente como de máxima prioridad.

Medidas de Mitigación y Recomendaciones

Microsoft ha lanzado la actualización del motor antimalware (versión 1.1.24050.2 o superior), que se despliega automáticamente en la mayoría de los entornos con actualizaciones automáticas activadas. Sin embargo, se recomienda a los administradores verificar manualmente la versión instalada ejecutando el siguiente comando en PowerShell:

«`powershell
Get-MpComputerStatus | Select-Object AMEngineVersion
«`

Si la versión es anterior a la 1.1.24050.2, se aconseja forzar la actualización o revisar políticas de actualización interna.

Otras recomendaciones incluyen:

– Monitorizar logs de seguridad de Defender para detectar actividad anómala.
– Restringir el acceso a carpetas monitorizadas por Defender.
– Revisar la configuración de privilegios para cuentas de usuario.
– Actualizar manualmente sistemas en entornos desconectados o con actualización diferida.

Opinión de Expertos

Consultoras y analistas de ciberseguridad destacan la gravedad de vulnerabilidades en motores antimalware, dada su presencia ubicua y su nivel de acceso al sistema. “Los motores de protección, por su propia naturaleza, requieren privilegios elevados y son un objetivo prioritario para atacantes avanzados,” señala Javier Fernández, analista de amenazas en un SOC europeo. “La rapidez en el despliegue de parches es crucial, especialmente en organizaciones sujetas a NIS2”.

Implicaciones para Empresas y Usuarios

Para las empresas, la gestión ágil de esta vulnerabilidad es clave para evitar incidentes de escalada de privilegios que puedan resultar en brechas de datos, sanciones bajo GDPR o afectaciones a la continuidad operativa. Los responsables de seguridad deben incluir esta actualización en sus procesos de hardening y auditoría regular de endpoints.

Los usuarios domésticos, aunque menos expuestos a ataques dirigidos, deben asegurarse de tener las actualizaciones automáticas activas y evitar ejecutar archivos no verificados en sus sistemas.

Conclusiones

CVE-2024-50656 (‘RoguePlanet’) demuestra la importancia de mantener actualizados todos los componentes críticos de la infraestructura de seguridad, incluidos los motores antimalware. Dada la criticidad y el alcance potencial de esta vulnerabilidad, se recomienda aplicar la actualización de inmediato y reforzar las políticas internas de gestión de parches y monitorización.

(Fuente: www.securityweek.com)