CVE-2024-49138 es una vulnerabilidad de día cero en el controlador del Sistema de Archivos de Registro Común (CLFS) de Windows, que permite a los atacantes elevar privilegios hasta el nivel SYSTEM. Esta falla, que está siendo explotada activamente y cuenta con una puntuación CVSS de 7.8, se deriva de una validación incorrecta de datos dentro de CLFS, el cual admite servicios de registro para operaciones en modo usuario y kernel.
Los operadores de ransomware han utilizado con mayor frecuencia las vulnerabilidades de elevación de privilegios de CLFS para ejecutar campañas rápidas y destructivas, facilitando el movimiento lateral, el robo de datos, el cifrado y la extorsión. La vulnerabilidad está siendo explotada actualmente y su inclusión en el catálogo de Vulnerabilidades Explotadas Conocidas de la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) de EE. UU. subraya la urgencia de adoptar medidas de mitigación.
| Fecha | 2024-12-16 15:00:20 |
| Información |
|
Resumen técnico
Esta vulnerabilidad permite a los atacantes aprovechar las API de Windows para manipular o corromper archivos de registro de CLFS, lo que podría conducir a la elevación de privilegios al nivel SYSTEM. Aunque los detalles técnicos precisos siguen siendo limitados, la causa principal parece estar relacionada con una validación inadecuada de los datos de entrada dentro de CLFS.
Los atacantes que explotan esta falla pueden eludir los permisos estándar del usuario, comprometiendo de hecho todo el sistema. Si se combina con una vulnerabilidad de ejecución remota de código (RCE), el impacto puede extenderse al control total del sistema, poniendo en riesgo todos los datos, procesos y configuraciones.
Recomendaciones
Actualizar inmediatamente: Aplicar los últimos parches de seguridad proporcionados por Microsoft para CVE-2024-49138 con el fin de mitigar la vulnerabilidad.
[Callforaction-THREAT-Footer]