Microsoft parchó recientemente una vulnerabilidad de día cero bajo explotación activa en Microsoft Outlook, identificada como CVE-2023-23397, que podría permitir a un atacante realizar una escalada de privilegios, acceder al hash de autenticación de respuesta de desafío Web-NTLMv2 de la víctima y hacerse pasar por el usuario.
Ahora está quedando claro que CVE-2023-23397 es lo suficientemente peligroso como para convertirse en el error de mayor alcance del año, advierten los investigadores de seguridad. Desde la revelación hace apenas tres días, más exploits de prueba de concepto (PoC) han aparecido en escena, lo que seguramente se traducirá en un interés criminal creciente, ayudado por el hecho de que no se requiere interacción del usuario para la explotación.
Si no es posible aplicar parches rápidamente, hay algunas opciones para abordar el problema, que se indican a continuación.
Explotación fácil: no es necesaria la interacción del usuario
La vulnerabilidad permite a los atacantes robar hashes de autenticación NTLM mediante el envío de notas o tareas maliciosas de Outlook a la víctima. Estos desencadenan el exploit automáticamente cuando el cliente de Outlook los recupera y los procesa, lo que podría conducir a la explotación antes de que el correo electrónico se vea en el Panel de vista previa. En otras palabras, un objetivo en realidad no tiene que abrir el correo electrónico para ser víctima de un ataque.
Descubierto por investigadores del Equipo de Respuesta a Emergencias Informáticas (CERT) de Ucrania y por uno de los propios investigadores de Microsoft, y parcheado a principios de esta semana como parte de la actualización del martes de parches de Microsoft, el error afecta a quienes ejecutan un servidor Trade y el cliente de escritorio Outlook para Windows. Outlook para Android, iOS, Mac y Outlook para World-wide-web (OWA) no se ven afectados.
«Los atacantes externos podrían enviar correos electrónicos especialmente diseñados que provocarán una conexión de la víctima a una ubicación UNC externa del regulate de los atacantes», dice Mark Stamford, fundador y director ejecutivo de OccamSec. Esto filtrará el hash Net-NTLMv2 de la víctima al atacante, quien luego puede transmitirlo a otro servicio y autenticarse como víctima, explica.
Una gama de posibles impactos de explotación
Nick Ascoli, fundador y director ejecutivo de Foretrace, señala que, si bien Microsoft no mencionó cómo lo usaban los delincuentes en sus ataques, permite la reutilización de la autenticación robada para conectarse a otras computadoras a través de la pink para el movimiento lateral.
«La gama de posibles ataques podría ir desde la exfiltración de datos hasta la posible instalación de malware, según los permisos de la víctima», dice.
Bud Broomhead, CEO de Viakoo, señala que «las víctimas probables son las más susceptibles al compromiso del correo electrónico comercial (BEC) y a que su identidad se use para otras formas de vulnerabilidades». Señala que hay algunas áreas en las que esto puede afectar, siendo las más graves la gestión de identidades y la confianza en las comunicaciones internas por correo electrónico.
“Los riesgos también incluyen la violación de los sistemas de TI centrales, la distribución de malware, el compromiso del correo electrónico comercial para obtener ganancias financieras y la interrupción de las operaciones comerciales y la continuidad del negocio”, advierte Broomhead.
¿Es este el error «It» de 2023?
Broomhead de Viakoo dice que si bien en este momento en 2023 podría haber muchos posibles errores «It» provenientes de Microsoft, este es ciertamente un competidor.
«Debido a que afecta a organizaciones de todos los tipos y tamaños, tiene métodos disruptivos de mitigación y capacitar a los empleados no lo detendrá, esta podría ser una vulnerabilidad que requiere un esfuerzo más significativo para mitigar y remediar», explica.
Señala que la superficie de ataque es al menos tan grande como la foundation de usuarios de escritorio de Outlook (masivo) y los sistemas de TI potencialmente centrales conectados a Home windows 365 (muy masivo), e incluso cualquier destinatario de correos electrónicos enviados a través de Outlook (prácticamente todos).
Luego, como se mencionó, los PoC que circulan hacen que la situación sea aún más atractiva para los ciberdelincuentes.
“Dado que la vulnerabilidad es pública y las instrucciones para una prueba de concepto están bien documentadas ahora, otros actores de amenazas pueden adoptar la vulnerabilidad en campañas de malware y apuntar a una audiencia más amplia”, agrega Daniel Hofmann, director ejecutivo de Hornetsecurity. «En basic, explotar la vulnerabilidad es straightforward y las pruebas de concepto públicas ya se pueden encontrar en GitHub y otros foros abiertos».
¿Qué deben hacer las empresas? Es posible que tengan que mirar más allá de la aplicación de parches, advierte Broomhead: «La mitigación en este caso es difícil, ya que causa una interrupción en la forma en que se configuran los sistemas de correo electrónico y los usuarios dentro de ellos».
Cómo protegerse contra CVE-2023-23397
Para aquellos que no pueden parchear de inmediato, Hofmann de Hornetsecurity dice que para proteger mejor a la organización, los administradores deben bloquear el tráfico saliente de TCP 445/SMB a World wide web desde la purple usando firewalls perimetrales, firewalls locales y configuración de VPN.
«Esta acción evita la transmisión de mensajes de autenticación NTLM a recursos compartidos de archivos remotos, lo que ayuda a abordar CVE-2023-23397», explica.
Las organizaciones también deben agregar usuarios al «Grupo de seguridad de usuarios protegidos» en Lively Listing para evitar que NTLM sea un mecanismo de autenticación.
«Este enfoque simplifica la resolución de problemas en comparación con otros métodos para desactivar NTLM», dice Broomhead. «Es particularmente útil para cuentas de alto valor, como administradores de dominio».
Señala Microsoft ha proporcionado un script para identificar y limpiar o eliminar los mensajes de Exchange con rutas UNC en las propiedades del mensaje, y aconseja a los administradores que apliquen el script para determinar si se han visto afectados por la vulnerabilidad y corregirla.
