Los atacantes continúan explotando la falla de la página de inicio de Outlook



FireEye emite orientación sobre cómo bloquear Outlook, alegando que los investigadores de seguridad, al menos, pueden solucionar el parche emitido por Microsoft.

Una vulnerabilidad de 2 años en Microsoft Outlook continúa causando dolores de cabeza a las empresas, ya que los atacantes pueden usar una característica específica del programa para ejecutar código y persistir en sistemas previamente infectados, según un aviso publicado por la firma de servicios de seguridad cibernética FireEye.

El ataque, que utiliza la vulnerabilidad de omisión de la característica de seguridad de Microsoft Outlook (CVE-2017-11774) parcheada en octubre de 2017, abusa de la característica de la página de inicio de Outlook que permite que se muestre una vista personalizada para cualquier carpeta de correo electrónico. Cuando se explota, la vulnerabilidad permite que el código se ejecute cada vez que se abre una página de inicio del cliente de Outlook.

Si bien el problema se corrigió y la gran mayoría de las empresas tienen la actualización, los atacantes han podido eludir la solución para ganar persistencia en los sistemas ya comprometidos, dice Matthew McWhirt, gerente senior de FireEye.

«Definitivamente seguimos viendo la funcionalidad de la Página de inicio utilizada por los atacantes, a pesar de que fue parcheada en 2017, hace más de dos años», dice. «También estamos viendo atacantes que intentan desactivar las protecciones que proporciona el parche al eludir algunos controles modificando el registro en los puntos finales».

La alerta se develop después de que el ejército de los Estados Unidos advirtió en julio que los grupos de espionaje cibernético iraníes estaban utilizando el problema como parte de sus ataques contra objetivos en los Estados Unidos, Europa y Medio Oriente. Dos grupos iraníes, APT33 y APT34, han utilizado el ataque desde junio de 2018, de acuerdo con FireEye. APT33, también conocido Duendecillo, ha atacado a industrias y agencias gubernamentales en los Estados Unidos, Arabia Saudita y Corea del Sur, centrándose en los sectores aeroespacial y de petróleo y gas. APT34, también conocido como Helix Kitten, se ha centrado en objetivos financieros, gubernamentales, energéticos, químicos y de telecomunicaciones en Oriente Medio y ha operado desde 2014.

Ambos grupos parecen usar la vulnerabilidad de Outlook como una forma de ganar persistencia en sistemas que ya están comprometidos. Además, un envío reciente a VirusTotal incluía una versión automatizada del ataque para evitar los sistemas de Outlook parcheados, FireEye declaró en su alerta.

«APT33 es un gran usuario de esta técnica, y también hemos visto a APT34 usarla también», dice McWhirt. «No lo llamaría un &#39repunte&#39, no es por eso que estamos llamando a esto, pero las compañías pueden pensar que son seguras porque aplicaron el parche de Outlook, y no lo son».

En la versión automatizada, enviada como un archivo de Excel a VirusTotal, la técnica de persistencia apunta a modificar la clave de registro de WebView con una URL externa en un tipo de almacenamiento en la nube común a Azure, conocido como blob de almacenamiento, y tiene un método para «caminar» a través del registro y revertir el … parche «, declaró FireEye. Dark Looking at no pudo confirmar la existencia del archivo a través de una búsqueda en el hash proporcionado por FireEye, pero la compañía declaró que el archivo parece ser atribuible a una operación autorizada del equipo rojo.

Para frustrar tales ataques, las empresas deben aplicar valores específicos para las claves de registro utilizadas por el ataque o el uso de objetos de directiva de grupo (GPO) en Home windows. En su alerta, FireEye enumeró las pautas completas de endurecimiento que las compañías pueden implementar para evitar que los atacantes eludan el parche de Outlook.

«Sin un refuerzo continuo de las configuraciones de registro recomendadas para … endurecer (contra el ataque), un atacante puede agregar o revertir claves de registro para configuraciones que esencialmente deshabilitan las protecciones proporcionadas por los parches», advirtió FireEye en la alerta.

Si bien el ataque específico parece ser generado por la industria, con una compañía de seguridad detectando la explotación de otra compañía de seguridad, los atacantes y grupos maliciosos a menudo adoptan técnicas iniciadas por investigadores de seguridad.

FireEye advirtió a las organizaciones que verifiquen para asegurarse de que los cambios de registro especificados no rompan las aplicaciones de terceros que usan la funcionalidad de la página de inicio de Outlook.

Debido a que deshacer las medidas de endurecimiento del parche requiere «alguna forma de acceso inicial», el problema no se considera un fallo del parche por Microsoft, según la alerta de FireEye.

«Sin embargo, la técnica se subestima, no hay una guía de mitigación pública disponible y, como lo demuestra un nuevo ejemplo en la naturaleza … – el acceso inicial y la anulación de parches se pueden automatizar completamente», indicó la alerta.

contenido relacionado

Revisa El borde, La nueva sección de Dark Examining para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Una causa que le interesa necesita su ayuda de ciberseguridad«.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dim Reading, MIT&#39s Technology Review, Well-liked Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más concepts





Enlace a la noticia unique