Microsoft refuerza la seguridad en Windows 11 24H2 con la sustitución de JScript por JScript9Legacy

Introducción

Microsoft ha comenzado a implementar cambios significativos en la seguridad del motor de scripting predeterminado en Windows 11, versión 24H2 y posteriores. En una decisión que responde a décadas de problemas de seguridad asociados al motor JScript clásico, la compañía ha anunciado la sustitución de este por JScript9Legacy, una versión más moderna y robusta. Este movimiento tiene implicaciones técnicas relevantes para entornos empresariales, aplicaciones heredadas y la estrategia general de mitigación de vulnerabilidades en el ecosistema Windows.

Contexto del Incidente o Vulnerabilidad

JScript, el motor de scripting legado, fue introducido en los años 90 como parte de Internet Explorer y ha sido durante mucho tiempo un vector de ataque aprovechado por actores de amenazas. Históricamente, numerosas vulnerabilidades críticas (CVE-2018-8653, CVE-2019-0567, entre otras) han permitido la ejecución remota de código a través de exploits en documentos Office, páginas web maliciosas y scripts incrustados en archivos PDF, lo que ha motivado su mantenimiento únicamente por motivos de compatibilidad. Sin embargo, la exposición a riesgos persistía, especialmente en entornos donde aún se utiliza software heredado que depende de este motor.

Detalles Técnicos

El cambio anunciado por Microsoft implica que, a partir de Windows 11 24H2, el motor de scripting por defecto deja de ser JScript.dll para pasar a ser JScript9Legacy.dll. Este último es una versión endurecida basada en el motor Chakra utilizado en las últimas versiones de Internet Explorer y Microsoft Edge Legacy.

– **Versiones afectadas:** Windows 11 24H2 y futuras versiones serán las primeras en adoptar este cambio, mientras que Windows 10 y versiones anteriores seguirán manteniendo JScript clásico por motivos de compatibilidad.
– **Vectores de ataque conocidos:** El motor JScript clásico ha sido explotado mediante técnicas como spear phishing (documentos Office con macros maliciosas), ataques a través de navegadores obsoletos y scripts embebidos en aplicaciones de terceros.
– **TTP (Tácticas, Técnicas y Procedimientos):** Según la matriz MITRE ATT&CK, los adversarios han utilizado técnicas como “Scripting” (T1059) y “User Execution” (T1204) para explotar vulnerabilidades de JScript, facilitando la ejecución de payloads y la escalada de privilegios.
– **IoC (Indicadores de Compromiso):** La presencia de archivos con extensiones .js, .jse y llamadas a jscript.dll en registros de sistema o eventos de AMSI puede indicar intentos de explotación.
– **Herramientas utilizadas:** Frameworks como Metasploit y Cobalt Strike han integrado exploits para CVEs de JScript, facilitando su uso incluso por actores con bajo nivel técnico.

Impacto y Riesgos

La sustitución de JScript por JScript9Legacy reduce notablemente la superficie de ataque asociada a este vector. Sin embargo, en empresas con aplicaciones críticas que dependen de JScript, pueden surgir problemas de compatibilidad. Las pruebas internas de Microsoft revelan que menos del 1% de las aplicaciones empresariales modernas requieren JScript clásico, lo que sugiere una afectación limitada pero relevante en determinados sectores industriales.

Desde una perspectiva de amenazas, la mitigación de exploits de día cero y técnicas de evasión basadas en scripting se verá reforzada, alineando así a Windows 11 con las exigencias regulatorias de GDPR y NIS2 en cuanto a protección de datos y resiliencia frente a ciberataques.

Medidas de Mitigación y Recomendaciones

Microsoft recomienda que los administradores de sistemas y responsables de seguridad lleven a cabo un inventario de aplicaciones que dependan de JScript clásico antes de actualizar a Windows 11 24H2. Para aquellos entornos donde la compatibilidad sea crítica, se recomienda:

– Uso de entornos virtualizados o contenedores para aplicaciones legacy.
– Restricción de la ejecución de scripts JScript mediante GPOs y AppLocker.
– Monitorización de eventos relacionados con la carga de JScript.dll y JScript9Legacy.dll.
– Despliegue de soluciones EDR con capacidades de detección de scripting malicioso y análisis de comportamiento.

Opinión de Expertos

Especialistas en ciberseguridad consideran que este cambio era “imprescindible y largamente esperado”. Juan Antonio Calle, analista SOC en una consultora del IBEX 35, señala: “La persistencia de JScript suponía un riesgo innecesario, especialmente ante campañas de ransomware que explotan vulnerabilidades de scripting. Este endurecimiento reduce vectores para ataques multi-stage”.

Por su parte, pentesters y consultores advierten que “la transición puede suponer un reto en sectores donde los sistemas legacy siguen siendo un componente clave”, subrayando la necesidad de pruebas de compatibilidad y formación para los equipos de IT.

Implicaciones para Empresas y Usuarios

Para las empresas, el cambio implica una obligación de revisar su inventario de software e iniciar la modernización de aplicaciones dependientes de scripting heredado. En caso contrario, podrían enfrentarse a interrupciones operativas y riesgos de incumplimiento normativo. Para los usuarios finales, la actualización representa una mejora en la protección frente a malware distribuido a través de documentos y scripts maliciosos, aunque la experiencia será transparente salvo en escenarios muy específicos.

Conclusiones

La decisión de Microsoft de reemplazar JScript por JScript9Legacy en Windows 11 24H2 supone un avance relevante en la reducción de riesgos asociados al scripting legacy. Si bien la transición conlleva retos técnicos para entornos con aplicaciones antiguas, el beneficio en términos de seguridad, cumplimiento normativo y resiliencia frente a amenazas modernas es indiscutible. Las organizaciones deben prepararse para la migración, adoptando medidas proactivas de inventario y modernización, en línea con las mejores prácticas de ciberseguridad empresarial.

(Fuente: www.bleepingcomputer.com)