AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Microsoft soluciona vulnerabilidades zero-day UnDefend y RedSun en Defender explotadas activamente

admin

Introducción

El último ciclo de actualizaciones de seguridad de Microsoft ha sacado a la luz dos vulnerabilidades críticas, denominadas UnDefend y RedSun, que afectan al emblemático producto antimalware de la compañía, Microsoft Defender. Ambas vulnerabilidades estaban siendo explotadas activamente en entornos reales, permitiendo a actores maliciosos elevar privilegios a nivel SYSTEM y causar condiciones de denegación de servicio (DoS). Este escenario subraya, una vez más, la importancia de mantener al día los sistemas de protección y la gravedad de que incluso herramientas diseñadas para salvaguardar infraestructuras puedan convertirse en vectores de ataque.

Contexto del Incidente

Las vulnerabilidades, identificadas como zero-days, han sido detectadas tanto por equipos internos de Microsoft como por investigadores externos, quienes alertaron sobre intentos de explotación activa antes de la publicación de los parches. El foco principal de este incidente recae sobre Microsoft Defender, un componente crítico presente por defecto en millones de endpoints con Windows 10, Windows 11 y Windows Server (versiones 2016 en adelante), lo que amplifica su alcance y potencial impacto.

Según datos recopilados por la telemetría de diferentes SOCs, se estima que aproximadamente un 87% de las organizaciones que utilizan sistemas Windows mantenían versiones de Defender susceptibles a estos fallos antes de la liberación de los parches. La relevancia del incidente aumenta al considerar que Microsoft Defender es una de las soluciones de seguridad más extendidas en el sector corporativo y gubernamental, donde la integridad y disponibilidad de los sistemas son cruciales.

Detalles Técnicos

Las vulnerabilidades han sido catalogadas bajo los identificadores CVE-2024-26247 (UnDefend) y CVE-2024-29988 (RedSun). Ambas presentan características preocupantes desde el punto de vista ofensivo:

– **CVE-2024-26247 (UnDefend):** Permite a un atacante local elevar privilegios hasta SYSTEM mediante la manipulación de procesos internos de Defender. El vector de ataque consiste en el abuso de privilegios inherentes al servicio, explotando una incorrecta validación de acceso en operaciones de actualización y análisis de archivos. Este fallo puede ser explotado a través de scripts de PowerShell o binarios legítimos «living-off-the-land» (LOLbins).

– **CVE-2024-29988 (RedSun):** Facilita la creación de condiciones de denegación de servicio (DoS) en el sistema afectado, resultando en la interrupción completa de las capacidades de defensa del endpoint. La explotación puede realizarse mediante la inyección de cargas maliciosas que desencadenan errores fatales en el motor de escaneo de Defender, deshabilitando el servicio y dejando el sistema vulnerable a amenazas adicionales.

Ambas vulnerabilidades han sido observadas en campañas de ataque que emplean técnicas asociadas a los TTPs del framework MITRE ATT&CK, específicamente T1068 (Exploitation for Privilege Escalation) y T1499 (Endpoint Denial of Service). Los Indicadores de Compromiso (IoC) identificados incluyen la ejecución de procesos anómalos con privilegios elevados y la generación de logs con errores críticos en el servicio MsMpEng.exe.

Impacto y Riesgos

La explotación exitosa de estas vulnerabilidades permite a los atacantes obtener control total sobre los endpoints afectados, eludiendo los mecanismos de defensa de Microsoft Defender. Esto abre la puerta a ataques más sofisticados, tales como la instalación de malware persistente, movimiento lateral y robo de credenciales.

Desde una perspectiva económica y de cumplimiento, el compromiso de sistemas protegidos por Defender puede derivar en filtraciones de datos sensibles, incumplimiento de normativas como GDPR y NIS2, y sanciones regulatorias. De acuerdo con estimaciones de la industria, el coste medio de un incidente que involucra privilegios elevados ronda los 4,3 millones de euros, sin contar daños reputacionales o pérdidas de productividad asociadas a interrupciones del servicio.

Medidas de Mitigación y Recomendaciones

Microsoft ha publicado actualizaciones críticas a través de Windows Update y su portal de seguridad. Se recomienda aplicar inmediatamente los parches correspondientes a CVE-2024-26247 y CVE-2024-29988 en todos los endpoints con versiones de Defender afectadas (Windows 10/11 y Windows Server 2016+).

Además, se aconseja:

– Monitorizar los logs de Defender y MsMpEng.exe en busca de comportamientos anómalos.
– Desplegar reglas YARA y detecciones en EDR/SIEM que identifiquen los IoC conocidos.
– Restringir el acceso local a privilegios de administración.
– Realizar auditorías periódicas de integridad en los sistemas de seguridad.
– Simular ataques (red teaming/pentesting) para validar la efectividad de los controles implementados.

Opinión de Expertos

Analistas SOC y equipos de inteligencia de amenazas coinciden en que estos incidentes demuestran la creciente sofisticación de los actores maliciosos, capaces de explotar incluso componentes de seguridad ampliamente auditados. «El hecho de que Defender sea el objetivo ilustra el interés por neutralizar el primer escudo de protección del endpoint», apunta un CISO de una gran entidad financiera europea.

Implicaciones para Empresas y Usuarios

La explotación de vulnerabilidades en herramientas de seguridad plantea un desafío significativo para CISOs y responsables de infraestructuras críticas. Las empresas deben reforzar su cultura de actualización proactiva, invertir en capacidades de detección avanzada y colaborar con partners tecnológicos para agilizar la respuesta ante nuevos zero-days.

Para los usuarios, la confianza en los productos de seguridad depende de la capacidad del fabricante para responder rápidamente, pero también de la responsabilidad compartida en la gestión y supervisión de estos sistemas.

Conclusiones

El descubrimiento y explotación activa de los zero-days UnDefend y RedSun en Microsoft Defender evidencia que ningún componente está exento de riesgos. Ante un panorama de amenazas en constante evolución, la actualización inmediata, la monitorización continua y la mejora de los procesos de respuesta son esenciales para minimizar el impacto y proteger los activos de la organización.

(Fuente: www.securityweek.com)