Riesgo en el Manejo de Logs CLFS en Windows

Recientemente se ha descubierto una vulnerabilidad alta que afecta a la funcionalidad de Common Log File System (CLFS) en sistemas Windows. Esta vulnerabilidad, identificada con el CVE-2024-49138, permite a atacantes ejecutar código de manera remota aprovechando una validación insuficiente en el manejo de entradas de los logs.

Características Principales de la CVE-2024-49138

• Identificador CVE: CVE-2024-49138.
• Fecha de Publicación: 11/12/2024.
• Software Afectado: Función Common Log File System (CLFS) en sistemas Windows.
• CVSS Score: 7.8 (Alta).
• Requisitos de Explotación: Se necesita acceso local al sistema, pero no se requiere privilegios elevados inicialmente.

La vulnerabilidad surge debido a una validación insuficiente en la funcionalidad de CLFS, utilizada para gestionar logs en entornos Windows. Mediante una explotación adecuada, un atacante podría escalar privilegios o ejecutar código malicioso con permisos elevados.

Mitigación y Recomendaciones

Microsoft ha publicado parches de seguridad que abordan esta vulnerabilidad. Es fundamental implementar estas actualizaciones lo antes posible para proteger los sistemas afectados. Además, se recomienda limitar el acceso local a sistemas críticos.

Para más información, se pueden consultar las notas oficiales de Microsoft: MSRC CVE-2024-49138.

Detección de la Vulnerabilidad

La presencia de esta vulnerabilidad puede verificarse mediante:

• Escaneos de seguridad: Herramientas como Qualys y Nessus incluyen detecciones específicas para esta vulnerabilidad.
• Scripts de PoC: Existen pruebas de concepto disponibles en GitHub: PoC.

Como parte de su servicio de vulnerabilidades emergentes, Tarlogic Security monitoriza de forma proactiva el perímetro de sus clientes para informar, detectar y notificar urgentemente la presencia de esta vulnerabilidad, así como otras amenazas críticas que podrían causar un grave impacto sobre la seguridad de sus activos.