ESTOY BAJO UN CIBER ATAQUE

Alerta

Alerta 2025-07 Vulnerabilidad crítica en Microsoft Configuration Manager

Producto(s) afectado(s): 

  • Microsoft Configuration Manager

 

Descripción

Se ha identificado una vulnerabilidad crítica, CVE-2024-43468, en Microsoft Configuration Manager (ConfigMgr), un componente ampliamente utilizado para la gestión de sistemas en entornos empresariales. Esta vulnerabilidad representa un riesgo severo para las organizaciones que dependen de este software.

Con un puntaje CVSS de 9.8, la vulnerabilidad permite a atacantes no autenticados ejecutar código remoto en los sistemas afectados, lo que puede derivar en un compromiso completo de los entornos objetivo.

Microsoft Configuration Manager, parte de la familia de productos Microsoft Intune, facilita funciones como distribución y actualización de software, inventario, gestión de configuraciones y control remoto. Sin embargo, CVE-2024-43468 surge de dos fallas de inyección SQL no autenticadas en el servicio MP_Location de ConfigMgr, causadas por una validación insuficiente al procesar mensajes de cliente.

Los atacantes pueden explotar estas fallas para realizar consultas SQL arbitrarias en la base de datos de ConfigMgr con privilegios de administrador de sistemas. Esto les permite activar el procedimiento xp_cmdshell, ejecutando comandos de sistema de manera remota. En caso de explotación, un atacante podría implementar cargas útiles maliciosas en toda la red, afectando múltiples puntos finales simultáneamente, con consecuencias como:

  1. Violaciones de datos.
  2. Compromiso completo del sistema.
  3. Posible despliegue de ransomware.

Investigadores de seguridad han publicado una prueba de concepto (PoC) que detalla cómo actores maliciosos podrían aprovechar esta vulnerabilidad mediante dos vectores principales:

  • Inyección en MachineID: Consiste en inyectar comandos SQL maliciosos en el campo SourceID de un mensaje XML dirigido a la función vulnerable getMachineID.
  • Inyección en ContentID: Explota la función getContentID utilizando un MachineID válido obtenido de la base de datos del sistema.

Solución

  • Microsoft ha lanzado el parche KB29166583 para solucionar la vulnerabilidad

Información adicional:

Descargar PDF

ESTAMOS AQUÍ PARA AYUDARTE

¿Estás sufriendo un ciberataque?

Denúncialo aquí

recibe las últimas alertas en tu bandeja de entrada

Suscríbete a nuestro boletín

Somos un grupo de profesionales altamente capacitados con sede en I+D, con conocimientos técnicos avanzados y experiencia en la detección, análisis, contención y recuperación de incidentes de seguridad.

Somos un CSIRT, somos Cybolt.

ESTOY SUFRIENDO UN CIBERATAQUE

Explora

Servicios

Mantente informado

© 2024. Beacon Lab CSIRT, Política de privacidad

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.