ALERTA DE SEGURIDAD: Vulnerabilidad en Microsoft Outlook
30 Marzo 2023
Se ha descubierto una grave vulnerabilidad de seguridad en Microsoft Outlook que actualmente está siendo explotada por ciberdelincuentes. La vulnerabilidad, identificada como CVE-2023-23397 con una puntuación CVSS de 9,8, permite a un atacante remoto y no autorizado comprometer sistemas simplemente transmitiendo un correo electrónico específicamente diseñado. Este correo electrónico malicioso permite al atacante obtener acceso no autorizado a las credenciales del destinatario. Hornetsecurity detecta los correos electrónicos que explotan la vulnerabilidad y los pone en cuarentena para evitar que lleguen a la bandeja de entrada del destinatario.
El exploit se inicia al recuperar y procesar un correo electrónico malicioso por parte del cliente de Outlook, lo que puede provocar la explotación incluso antes de que se muestre el correo electrónico en el panel de vista previa. Esto desencadena una conexión desde la víctima hacia una ubicación controlada por el atacante. Como resultado, se produce la fuga del hash Net-NTLMv2 de la víctima, un protocolo de desafío-respuesta utilizado para la autenticación en entornos de Windows. El atacante puede luego transmitir esta información a otro servicio y autenticarse como la víctima, comprometiendo aún más el sistema.
La complejidad del ataque es baja y, según Microsoft, se ha visto en la naturaleza, con el exploit utilizado para atacar a organizaciones gubernamentales, militares, energéticas y de transporte europeas. Inicialmente, CERT-UA (el Equipo de Respuesta ante Emergencias Informáticas de Ucrania) informó a Microsoft sobre la vulnerabilidad.
Un concepto de prueba creado por el equipo de Laboratorio de Seguridad de Hornetsecurity demuestra que el exploit es difícil de detectar, ya que todos los servicios anti-malware y sandbox incorporados en VirusTotal no pudieron reconocerlo como malicioso.
Versiones afectadas:
La vulnerabilidad crítica de Microsoft Outlook afecta tanto a las versiones de 32 bits como a las de 64 bits de Microsoft 365 Apps para Empresas. Además, las ediciones de Office 2013, 2016 y 2019, así como las ediciones LTSC, son susceptibles al ataque.
Recomendaciones:
Los usuarios de Hornetsecurity están protegidos por los servicios de Protección contra Spam y Malware y Protección contra Amenazas Avanzadas contra amenazas entrantes. Para proteger mejor su organización, recomendamos los siguientes pasos de acuerdo con los consejos de Microsoft:
Los administradores deben bloquear el tráfico saliente TCP 445/SMB a Internet desde la red utilizando cortafuegos de perímetro, cortafuegos locales y ajustes de VPN. Esta acción evita la transmisión de mensajes de autenticación NTLM a recursos compartidos de archivos remotos, lo que ayuda a abordar CVE-2023-23397.
Añadir usuarios al grupo de seguridad "Usuarios protegidos" en Active Directory para evitar que NTLM sea un mecanismo de autenticación. Este enfoque simplifica la solución de problemas en comparación con otros métodos de desactivación de NTLM. Es especialmente útil para cuentas de alto valor, como los administradores de dominio.
Microsoft ha proporcionado un script para identificar y limpiar o eliminar mensajes de Exchange con rutas UNC en las propiedades del mensaje. El script se puede encontrar en https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/. Los administradores deben aplicar el script para determinar si han sido afectados por la vulnerabilidad y remediarla.
Se espera que la probabilidad de ataques más amplios dirigidos a la vulnerabilidad CVE-2023-23397 aumente a medida que ya se han publicado pruebas de concepto públicas. Por lo tanto, recomendamos encarecidamente que todos los usuarios de Microsoft Outlook apliquen los parches de seguridad proporcionados por Microsoft lo antes posible.
El laboratorio de seguridad de Hornetsecurity continúa monitoreando el panorama de amenazas para garantizar que nuestros clientes estén protegidos contra las últimas amenazas cibernéticas.
Para más información o llámenos al 977 75 04 87 o envíe un correo a sat@inforama.es
Información básica de Protección de Datos (RGPD): Responsable: Inforama Serveis Informàtics, S.L. (INFORAMA S.I., S.L.) info@inforama.es Finalidad: Gestión del envío de la información solicitada, de información comercial y de novedades de la Empresa. Legitimación: Consentimiento expreso del interesado, mediante este formulario. Destinatarios: Únicamente el responsable del tratamiento. Derechos: Tiene derecho a Acceder, rectificar y suprimir los datos, así como otros derechos, que se detallan en la información adicional de Privacidad. Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos Personales en "PRIVACIDAD"
