AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Microsoft publica la actualización KB5064081 para Windows 11 24H2: Nuevas funciones y riesgos de seguridad asociados

admin

Introducción

El pasado 25 de junio de 2024, Microsoft lanzó la actualización acumulativa en versión preliminar KB5064081 para Windows 11 24H2. Esta actualización, denominada “Cumulative Update Preview”, introduce treinta y seis nuevas funcionalidades y cambios, entre los que destacan mejoras en la función Recall y una renovada visualización del uso de CPU en el Administrador de Tareas. Sin embargo, la rápida adopción de nuevas características en entornos empresariales y la exposición de superficies de ataque adicionales plantean desafíos relevantes para los profesionales de la ciberseguridad, desde CISOs hasta equipos de respuesta ante incidentes.

Contexto del Incidente o Vulnerabilidad

Las actualizaciones “preview” de Microsoft, como la KB5064081, se publican para proporcionar acceso anticipado a nuevas capacidades, permitiendo a los administradores y desarrolladores validar la compatibilidad y el rendimiento antes de la distribución general. Sin embargo, por su propia naturaleza, estas versiones no están exentas de riesgos: pueden introducir vulnerabilidades no detectadas, afectar la estabilidad del sistema o modificar flujos de trabajo críticos. En el contexto actual, donde las amenazas a la cadena de suministro de software y las campañas de explotación de 0-days son recurrentes, cualquier cambio en el sistema operativo requiere un análisis técnico exhaustivo.

Detalles Técnicos

La actualización KB5064081 está dirigida a sistemas con Windows 11 24H2 (Build 26100.863 y superiores). Entre los cambios más relevantes se encuentran:

– Recall mejorado: se expande la funcionalidad para el seguimiento y recuperación de actividades de usuario, almacenando información contextual y metadatos.
– Actualización del Administrador de Tareas: se incluye una vista granular del consumo de CPU por subproceso, facilitando el análisis de rendimiento y la detección de procesos anómalos.
– Mejoras en la conectividad Wi-Fi y Bluetooth.
– Integración de nuevas directivas de seguridad y privacidad.
– Cambios en la gestión de permisos para aplicaciones UWP.

Aunque la actualización no ha reconocido públicamente CVEs asociados, la ampliación de Recall y la mayor exposición de telemetría y datos contextuales representan vectores potenciales de ataque (MITRE ATT&CK: T1005 Data from Local System, T1082 System Information Discovery, T1056 Input Capture). Un atacante con privilegios suficientes podría explotar nuevas APIs para acceder a información sensible o manipular el almacenamiento de Recall.

Indicadores de Compromiso (IoC) relevantes incluyen:

– Acceso inesperado a carpetas de almacenamiento de Recall (%APPDATA%MicrosoftRecall).
– Modificaciones sospechosas en el registro relacionadas con el Administrador de Tareas.
– Ejecución de procesos no autorizados con hooks sobre nuevas funciones de telemetría.

Impacto y Riesgos

La rápida implementación de funcionalidades como Recall puede incrementar la superficie de ataque, especialmente en organizaciones sometidas a regulaciones estrictas (GDPR, NIS2). El almacenamiento de información contextual sobre actividades de usuario plantea riesgos de exfiltración, abuso de privilegios y compromisos de privacidad.

Según estimaciones del sector, hasta un 15% de las brechas recientes en entornos Windows se han originado en funcionalidades experimentales o nuevas APIs mal protegidas. Además, la actualización KB5064081 modifica componentes críticos del sistema, lo que podría ser aprovechado por herramientas de post-explotación como Cobalt Strike, Metasploit o frameworks de pentesting avanzados para escalar privilegios o evadir controles EDR.

Medidas de Mitigación y Recomendaciones

Se recomienda a los equipos de seguridad y administradores:

– Evaluar la actualización en entornos de laboratorio antes de su despliegue en producción.
– Monitorizar eventos relacionados con la función Recall y el Administrador de Tareas mediante SIEM/SOC y reglas específicas (por ejemplo, detección de nuevos procesos accediendo a %APPDATA%MicrosoftRecall).
– Restringir el acceso a nuevas APIs y carpetas de almacenamiento mediante políticas de grupo (GPO) y listas de control de acceso (ACL).
– Mantener actualizado el inventario de activos y aplicar segmentación de red para aislar sistemas en fase de pruebas.
– Revisar y actualizar las políticas de privacidad y retención de datos en cumplimiento con el GDPR y la Directiva NIS2.

Opinión de Expertos

Varios expertos en ciberseguridad coinciden en la necesidad de extremar la precaución con las actualizaciones “preview”. Javier A. Martínez, analista senior en un SOC internacional, señala: “Las nuevas funciones orientadas a la productividad, como Recall, pueden convertirse en una mina de oro para actores maliciosos si no se gestionan correctamente los permisos y la monitorización. La transparencia sobre cómo y dónde se almacenan los datos es esencial”.

Por su parte, representantes de la comunidad de pentesters advierten que la integración acelerada de telemetría avanzada puede desbordar los controles clásicos de DLP y EDR, facilitando técnicas de “living off the land”.

Implicaciones para Empresas y Usuarios

Para las empresas, el principal reto radica en equilibrar la adopción de nuevas funcionalidades con la gestión del riesgo. Las actualizaciones como KB5064081 ofrecen ventajas en términos de visibilidad y capacidad de respuesta, pero requieren un enfoque proactivo para evitar brechas de seguridad y sanciones regulatorias.

Para los usuarios, la transparencia en el manejo de datos y la facilidad para revocar permisos o deshabilitar funciones como Recall serán elementos determinantes para mantener la confianza y cumplir con los requisitos legales del RGPD.

Conclusiones

La actualización KB5064081 para Windows 11 24H2 ejemplifica el delicado equilibrio entre innovación y seguridad en los sistemas operativos modernos. Si bien las nuevas capacidades pueden aportar valor, su adopción sin una evaluación rigurosa puede abrir la puerta a nuevas amenazas y vulnerabilidades. Los equipos de seguridad deben actuar con cautela, monitorizando activamente los cambios y adaptando las políticas conforme evolucionan las funcionalidades y el entorno regulatorio.

(Fuente: www.bleepingcomputer.com)