Fecha de divulgación: 12 de noviembre de 2024
Fecha añadida a CISA KEV: N/A
CVE-2024-43639 es una vulnerabilidad crítica en el protocolo de autenticación Windows Kerberos que permite a atacantes no autenticados ejecutar código remoto en los sistemas afectados. Al explotar este defecto, los atacantes pueden enviar solicitudes especialmente diseñadas a un sistema vulnerable, aprovechando una vulnerabilidad del protocolo criptográfico en Windows Kerberos para obtener acceso no autorizado y ejecutar código arbitrario.
A esta vulnerabilidad se le ha asignado una puntuación de gravedad CVSS de 9,8. Esta vulnerabilidad sólo afecta a los servidores Windows configurados como servidores del protocolo proxy del centro de distribución de claves (KDC) Kerberos. Los controladores de dominio no se ven afectados.
Los servidores de protocolo proxy KDC permiten a los clientes comunicarse con los servidores KDC a través de HTTPS. Kerberos utiliza normalmente UDP (por defecto) o TCP para la comunicación entre el cliente y el servidor KDC a través de estos puertos:
- UDP/TCP 88: Utilizado para los intercambios del servicio de autenticación Kerberos y del servicio de rejilla de tickets.
- TCP 464: Utilizado para los cambios de contraseña Kerberos.
Estos protocolos suponen un acceso directo y fiable al servidor KDC, que suele estar dentro de la misma red local o VPN conectada. KDC Proxy encapsula los mensajes del protocolo Kerberos dentro de solicitudes HTTPS, retransmitiendo el tráfico Kerberos entre el cliente y el servidor KDC respaldado.
Diseñado originalmente para servicios como Remote Desktop Gateway y DirectAccess, el servicio KDC Proxy puede configurarse en un servidor unido a un dominio con una interfaz pública y un certificado de confianza. Los clientes pueden configurarse para utilizar este proxy mediante directivas de grupo o modificaciones del registro, lo que permite una autenticación segura de Kerberos a través de Internet.
KDC Proxy URLs are typically structured as https://<server>/KdcProxy. To identify KDC Proxy servers in your environment, you can scan for HTTPS endpoints matching this URI.
| Campo |
Detalles |
| CVE-ID |
CVE-2024-43639 - CVSS 9.8 (Crítico) asignado por Microsoft |
| Descripción de la vulnerabilidad |
Un atacante no autenticado podría utilizar una aplicación especialmente diseñada para aprovechar una vulnerabilidad de protocolo criptográfico en Windows Kerberos para realizar la ejecución remota de código contra el objetivo. |
| Fecha de divulgación |
12 de noviembre de 2024 |
| Activos afectados |
Los productos Windows Server se ven afectados cuando se configuran como servidor de protocolo proxy KDC. |
| Versiones de software vulnerables |
Los siguientes productos Windows Server se ven afectados cuando se configuran como un servidor de protocolo proxy KDC:
- Windows Server 2012 (instalación Server Core) [antes del número de compilación 6.2.9200.25165].
- Windows Server 2012 [antes del número de compilación 6.2.9200.25165]
- Windows Server 2016 (instalación Server Core) [antes del número de compilación 10.0.14393.7515].
- Windows Server 2016 [antes del número de compilación 10.0.14393.7515]
- Windows Server 2022, 23H2 Edition (instalación Server Core) [antes del número de compilación 10.0.25398.1251].
- Windows Server 2012 R2 (instalación Server Core) [antes del número de compilación 6.3.9600.22267].
- Windows Server 2012 R2 [antes del número de compilación 6.3.9600.22267]
- Windows Server 2022 (instalación Server Core) [antes del número de compilación 10.0.20348.2849].
- Windows Server 2022 (instalación Server Core) [antes del número de compilación 10.0.20348.2849].
- Windows Server 2022 [antes del número de compilación 10.0.20348.2849].
- Windows Server 2022 [antes del número de compilación 10.0.20348.2849].
- Windows Server 2019 (instalación de Server Core) [antes del número de compilación 10.0.17763.6532].
- Windows Server 2019 [antes del número de compilación 10.0.17763.6532]
- Windows Server 2025 (instalación Server Core) [antes del número de compilación 10.0.26100.2314].
- Windows Server 2025 (instalación Server Core) [antes del número de compilación 10.0.26100.2240].
- Windows Server 2025 [antes del número de compilación 10.0.26100.2314].
- Windows Server 2025 [antes del número de compilación 10.0.26100.2240].
|
| ¿PoC disponible? |
En el momento de redactar el presente documento no se disponía de ninguna PdC. |
| Estado de explotación |
En el momento de escribir estas líneas, esta CVE no ha aparecido en la lista de vulnerabilidades explotadas conocidas de CISA ni en GreyNoise. |
| Estado del parche |
Esta guía de actualizaciones de seguridad incluye una tabla con información sobre cómo parchear los productos afectados. |
Censys Perspectiva
En el momento de escribir esto, Censys observó más de 2 millones de instancias de Windows Server expuestas en línea: 2.274.340 para ser exactos, filtrando los honeypots. Nótese que no todas son vulnerables; sólo los servidores configurados con el proxy Kerberos KDC son vulnerables, pero no detectamos el proxy /KdcProxy a través de nuestra recopilación pasiva. Dicho esto, 1,211,834 de estos dispositivos (más de la mitad) se observaron con TCP/443 (HTTPS) abierto, el puerto predeterminado para el servidor de protocolo proxy KDC. Los administradores deberían confirmar la presencia de este protocolo en sus sistemas.
Una gran proporción de ellos (34%) están geolocalizados en Estados Unidos. Censys observó alrededor del 11% de las instancias expuestas estaban asociadas a Armstrong Enterprise Communications (ASN 46622), un proveedor de soluciones y TI gestionadas.
Mapa de instancias expuestas de Windows Server:
Tenga en cuenta que los dispositivos mostrados sólo son vulnerables cuando están configurados como servidor de protocolo proxy Kerberos KDC.
Censys Consulta de búsqueda:
services.software: (vendor="Microsoft" and (product="Windows Server 2012 R2" or product="Windows Server 2012" or product="Windows Server 2019" or product="Windows Server 2016" or product="Windows Server 2022")) and not labels: {tarpit, honeypot, truncated}
Censys Consulta ASM:
host.services.software.vendor="Microsoft" and (host.services.software.product="Windows Server 2012 R2" or host.services.software.product="Windows Server 2012" or host.services.software.product="Windows Server 2019" or host.services.software.product="Windows Server 2016" or host.services.software.product="Windows Server 2022") and not host.labels: {tarpit, honeypot, truncated}
Referencias
