En el ámbito de la ciberseguridad, 2024 ha traído nuevas vulnerabilidades que han despertado el interés de expertos y usuarios de sistemas Windows.
En particular, CVE-2024-38030 representa un riesgo significativo, y ya ha comenzado a recibir soluciones de mitigación mientras los investigadores descubren más detalles sobre su funcionamiento.
¿Qué es CVE-2024-38030? Una Nueva Amenaza en Archivos de Temas de Windows
La vulnerabilidad CVE-2024-38030 se descubrió en el proceso de parchar otra vulnerabilidad anterior relacionada con la gestión de archivos de temas en Windows (CVE-2024-21320).
Estos archivos de temas, aparentemente inofensivos, pueden contener rutas de red maliciosas que permiten a atacantes acceder a credenciales del usuario mediante solicitudes de red autenticadas, todo sin que el usuario tenga que abrir el archivo.
La falla fue descubierta por el investigador de seguridad Tomer Peled, de Akamai, quien notó que al visualizarse un archivo de tema en el explorador de Windows, este podía filtrar credenciales NTLM a hosts remotos.
Peled reportó el problema a Microsoft, y aunque un parche inicial fue desarrollado, una segunda inspección reveló vulnerabilidades adicionales. Microsoft trabajó para mejorar el parche, asignando el código CVE-2024-38030 a esta vulnerabilidad corregida.
El Problema Original y Cómo Nació CVE-2024-38030
Para entender la raíz de CVE-2024-38030, necesitamos ver el proceso desde su inicio: la primera vulnerabilidad en los archivos de temas (CVE-2024-21320). Cuando un archivo de tema incluía rutas de red para propiedades visuales (como el fondo de pantalla), el sistema enviaba solicitudes de red con las credenciales NTLM del usuario.
Esto significaba que un atacante solo necesitaba que un usuario viera el archivo listado en su explorador para robar sus credenciales.
Después de solucionar CVE-2024-21320, Microsoft utilizó una función llamada PathIsUNC para verificar si las rutas de red eran seguras. Sin embargo, esta función ya había sido analizada en 2016 por el investigador James Forshaw, quien detectó formas de evadirla, lo cual permitió que surgiera CVE-2024-38030.
Al conocer esta segunda vulnerabilidad, los investigadores de 0patch y Microsoft comenzaron a explorar la posibilidad de parches más robustos.
¿Cómo Funciona CVE-2024-38030 y Qué Riesgos Representa para los Usuarios?
CVE-2024-38030 no requiere que el usuario haga clic en el archivo de tema ni que realice acciones complejas. Simplemente al ver el archivo en su explorador, Windows puede enviar automáticamente las credenciales NTLM del usuario a un host remoto, permitiendo a los atacantes robar información sensible sin que el usuario esté al tanto.
Esta vulnerabilidad afecta incluso las versiones más recientes y actualizadas de Windows, como Windows 11 24H2.
Ejemplo en acción: Un usuario descarga un archivo de tema modificado de una fuente no confiable y lo guarda en el escritorio. Al acceder a la vista de esa carpeta, sin ninguna interacción adicional, se activan las conexiones de red automáticas que envían las credenciales a un servidor controlado por el atacante.
Mitigación: Parcheo y Alternativas de Protección de la Comunidad
Para solucionar CVE-2024-38030, Microsoft lanzó actualizaciones de seguridad, y la comunidad de 0patch desarrolló microparches gratuitos para proteger tanto versiones heredadas de Windows como las aún soportadas oficialmente.
A diferencia de un parche completo de Microsoft, los microparches de 0patch protegen contra variaciones del problema detectadas más allá de la ruta de red verificada, asegurando que cualquier solicitud a rutas remotas quede bloqueada.
Lista de versiones protegidas por microparches de 0patch:
- Versiones heredadas: Windows 7, Windows 10 (v2004-v1909)
- Versiones actuales: Windows 10 v22H2, Windows 11 (22H2, 23H2, 24H2)
La ventaja de usar 0patch radica en su rapidez y cobertura para versiones antiguas y actuales de Windows. Además, no se requiere reiniciar el sistema, lo que reduce la interrupción en el flujo de trabajo de los usuarios.
La Lección de “Hacking for Variations” y el Proceso de Seguridad en Microsoft
Microsoft sigue un proceso de revisión conocido como «Hacking for Variations» (HfV), que implica buscar variantes de vulnerabilidades reportadas para mitigar futuras brechas.
A pesar de la antigüedad del término (2011), es una práctica común en la industria tecnológica para abordar posibles variaciones de un mismo problema de seguridad.
Sin embargo, esta vulnerabilidad sugiere la necesidad de revisar y mejorar los métodos de detección de variaciones, como subrayaron los investigadores de 0patch al señalar que aún quedaba una variante activa después del parche inicial.
Esta vulnerabilidad muestra que, en ciberseguridad, es fundamental anticipar múltiples puntos de ataque para cubrir cualquier posible brecha.
Conclusión y Recomendaciones para Proteger tus Credenciales en Windows
La vulnerabilidad CVE-2024-38030 resalta la importancia de contar con soluciones de seguridad proactivas y de utilizar microparches cuando las actualizaciones oficiales son insuficientes o tardan en llegar.
La exposición de credenciales NTLM simplemente al ver un archivo en el explorador es un riesgo serio, especialmente para quienes dependen de Windows en su trabajo diario.
Consejos para los usuarios:
- Utiliza 0patch: Este servicio ofrece parches para versiones de Windows que ya no reciben soporte de Microsoft y es una capa adicional de protección para usuarios activos.
- Evita fuentes desconocidas: Descarga archivos de temas y personalización solo de fuentes verificadas.
- Mantén tus sistemas actualizados: Instala actualizaciones de seguridad de Microsoft y sigue buenas prácticas de ciberseguridad, como verificar las credenciales en sistemas sensibles.
La ciberseguridad en Windows es un reto en constante evolución. CVE-2024-38030 es solo un ejemplo de cómo las vulnerabilidades pueden afectar nuestro día a día. ¿Qué tan seguro te sientes en tu sistema actual?…
