Microsoft corrige el día 0 de Outlook utilizado por piratas informáticos rusos

Microsoft ha parcheado una vulnerabilidad de día cero de Outlook (CVE-2023-23397) explotada por un grupo de piratería vinculado al servicio de inteligencia militar ruso GRU para atacar organizaciones europeas.

La vulnerabilidad de seguridad fue explotada en ataques para atacar y violar las redes de menos de 15 organizaciones gubernamentales, militares, energéticas y de transporte entre mediados de abril y diciembre de 2022.

El grupo de piratería (rastreado como APT28, STRONTIUM, Sednit, Sofacy y Fancy Bear) envió notas y tareas maliciosas de Outlook para robar hashes NTLM a través de solicitudes de negociación NTLM al obligar a los dispositivos de los objetivos a autenticarse en recursos compartidos SMB controlados por el atacante.

Las credenciales robadas se usaron para el movimiento lateral dentro de las redes de las víctimas y para cambiar los permisos de la carpeta de buzón de Outlook, una táctica que permite la exfiltración de correo electrónico para cuentas específicas.

Microsoft compartió esta información en un informe privado de análisis de amenazas visto por BleepingComputer y disponible para los clientes con suscripciones de Microsoft 365 Defender, Microsoft Defender para empresas o Microsoft Defender para Endpoint Plan 2.

EoP crítica en Outlook para Windows

La vulnerabilidad (CVE-2023-23397) fue reportada por CERT-UA (el Equipo de Respuesta a Emergencias Informáticas para Ucrania), y es una falla crítica de seguridad de privilegios de elevación de Outlook explotable sin interacción del usuario en ataques de baja complejidad.

Los actores de amenazas pueden aprovecharlo enviando mensajes con propiedades MAPI extendidas que contienen rutas de acceso UNC a un recurso compartido SMB (TCP 445) bajo su control.

"El atacante podría explotar esta vulnerabilidad mediante el envío de un correo electrónico especialmente diseñado que se activa automáticamente cuando es recuperado y procesado por el cliente de Outlook. Esto podría llevar a la explotación ANTES de que el correo electrónico se vea en el Panel de vista previa", dice Microsoft en un aviso de seguridad publicado hoy.

"La conexión al servidor SMB remoto envía el mensaje de negociación NTLM del usuario, que el atacante puede luego transmitir para la autenticación contra otros sistemas que admiten la autenticación NTLM", explica Redmond en una publicación de blog separada.

CVE-2023-23397 afecta a todas las versiones compatibles de Microsoft Outlook para Windows, pero no afecta a las versiones de Outlook para Android, iOS o macOS.

Además, dado que los servicios en línea como Outlook en la web y Microsoft 365 no admiten la autenticación NTLM, no son vulnerables a los ataques que aprovechan esta vulnerabilidad de retransmisión NTLM.

Microsoft recomienda aplicar inmediatamente la revisión de CVE-2023-23397 para mitigar esta vulnerabilidad y frustrar cualquier ataque entrante.

La compañía también aconseja agregar usuarios al grupo Usuarios protegidos en Active Directory y bloquear SMB saliente (puerto TCP 445) si la aplicación de parches no es posible de inmediato, lo que podría limitar el impacto de CVE-2023-23397.

Script de detección de mitigación y segmentación disponible

Microsoft insta a los clientes a parchear inmediatamente sus sistemas contra CVE-2023-23397 o agregar usuarios al grupo Usuarios protegidos en Active Directory y bloquear SMB saliente (puerto TCP 445) como una mitigación temporal para minimizar el impacto de los ataques.

Redmond también lanzó un script de PowerShell dedicado para ayudar a los administradores a comprobar si algún usuario en su entorno de Exchange ha sido atacado mediante esta vulnerabilidad de Outlook.

"Comprueba los elementos de mensajería de Exchange (correo, calendario y tareas) para ver si una propiedad se rellena con una ruta UNC", señala Microsoft.

"Si es necesario, los administradores pueden usar este script para limpiar la propiedad en busca de elementos maliciosos o incluso eliminar los elementos de forma permanente".

Esta secuencia de comandos también permite modificar o eliminar mensajes potencialmente malintencionados si se encuentran en el servidor Exchange auditado cuando se ejecutan en modo de limpieza.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta