Vulnerabilidad en Microsoft Corporation (CVE-2024-38202)

Resumen: Se notificó a Microsoft que existe una vulnerabilidad de elevación de privilegios en Copias de seguridad de Windows, lo que podría permitir que un atacante con privilegios de usuario básicos reintroduzca vulnerabilidades previamente mitigadas o eluda algunas características de Seguridad basada en virtualización (VBS). Sin embargo, un atacante que intente aprovechar esta vulnerabilidad requiere interacción adicional por parte de un usuario privilegiado para tener éxito. Microsoft está desarrollando una actualización de seguridad para mitigar esta amenaza, pero aún no está disponible. En la sección acciones recomendadas de este CVE se proporciona orientación para ayudar a los clientes a reducir los riesgos asociados con esta vulnerabilidad y proteger sus sistemas hasta que la mitigación esté disponible en una actualización de seguridad de Windows. Este CVE se actualizará y se notificará a los clientes cuando la mitigación oficial esté disponible en una actualización de seguridad de Windows. Recomendamos encarecidamente a los clientes que se suscriban a las notificaciones de la Guía de actualización de seguridad para recibir una alerta cuando se produzca esta actualización. Detalles Un investigador de seguridad informó a Microsoft sobre una vulnerabilidad de elevación de privilegios en Windows Backup que podría permitir a un atacante con privilegios de usuario básicos reintroducir vulnerabilidades previamente mitigadas o eludir algunas características de VBS. Para que la explotación tenga éxito, un atacante debe engañar o convencer a un administrador o usuario con permisos delegados para que realice una restauración del sistema, lo que inadvertidamente desencadena la vulnerabilidad. Microsoft está desarrollando una actualización de seguridad que mitigará esta vulnerabilidad, pero aún no está disponible. Este CVE se actualizará con nueva información y enlaces a las actualizaciones de seguridad una vez que estén disponibles. Recomendamos encarecidamente a los clientes que se suscriban a las notificaciones de la Guía de actualizaciones de seguridad para recibir alertas sobre las actualizaciones. Consulte la Guía de actualizaciones de seguridad y notificaciones técnicas de seguridad de Microsoft. Noticias del sistema de notificaciones: cree su perfil ahora: Centro de respuestas de seguridad de Microsoft. Microsoft no tiene conocimiento de ningún intento de aprovechar esta vulnerabilidad. Sin embargo, el 7 de agosto de 2024 se realizó una presentación pública sobre esta vulnerabilidad en BlackHat. La presentación se coordinó adecuadamente con Microsoft, pero puede cambiar el panorama de amenazas. Los clientes preocupados por estos riesgos deben consultar la guía proporcionada en la sección Acciones recomendadas para proteger sus sistemas. Acciones recomendadas Las siguientes recomendaciones no mitigan la vulnerabilidad, pero pueden usarse para reducir el riesgo de explotación hasta que la actualización de seguridad esté disponible. Audite a los usuarios con permiso para realizar operaciones de copia de seguridad y restauración para garantizar que solo los usuarios adecuados puedan realizar estas operaciones. Auditoría: Audite el uso del privilegio de Copia de seguridad y restauración (Windows 10) - Windows 10 | Microsoft Learn Implemente una lista de control de acceso o listas de control de acceso discrecionales para restringir el acceso o la modificación de los archivos de copia de seguridad y realizar operaciones de restauración para los usuarios adecuados, por ejemplo, solo administradores. Descripción general del control de acceso | Listas de control de acceso discrecional (DACL) de Microsoft Learn La auditoría de los privilegios confidenciales utilizados para identificar el acceso, la modificación o el reemplazo de archivos relacionados con la copia de seguridad podría ayudar a indicar intentos de aprovechar esta vulnerabilidad. Auditar el uso de privilegios confidenciales - Windows 10 | Microsoft aprende