Los piratas informáticos explotan la vulnerabilidad de escalada de privilegios de Microsoft Outlook
2 min readMicrosoft parchó recientemente una vulnerabilidad de elevación de privilegios sin clic en Microsoft Outlook, rastreada como CVE-2023-2339 y obtuvo una calificación de 9.8/10 en el Common Vulnerability Scoring System (CVSS). Si no se controla, esta vulnerabilidad podría permitir que un actor de amenazas capture información confidencial de cualquier cuenta de usuario que reciba el correo electrónico malicioso y se haga pasar por ese usuario.
La vulnerabilidad reside en una función de Microsoft Outlook que permite cargar un archivo de sonido personalizado para las notificaciones. Específicamente, no es necesario que el archivo de audio sea local para la máquina, sino que puede residir en un recurso compartido de archivos remoto accesible a través de una ruta de Convención de nomenclatura universal (UNC).
Un atacante puede crear un correo electrónico especial, que generalmente contiene un calendario malicioso o una invitación a una reunión, lo que también obliga a la computadora de la víctima a cargar un sonido de notificación alojado de forma remota desde un recurso compartido SMB controlado por el servidor. La computadora de la víctima automáticamente intenta autenticarse a través de
Gerente de Nuevas Tecnologías LAN (NTLM), exponiendo las credenciales hash al atacante. Luego, el atacante puede intentar recuperar las credenciales a través del descifrado o usarlas en un ataque de repetición para autenticarse en otros servicios.
Sobre todo, este proceso no requiere ninguna interacción por parte de la víctima. Outlook inicia automáticamente el recurso compartido de archivos remoto comprometido tan pronto como el mensaje malicioso llega a la bandeja de entrada de la víctima.
Para mitigar esto, los usuarios o administradores del sistema deberán instalar la actualización de seguridad de Microsoft Outlook necesaria o restringir el uso de NTLM para la autenticación. Además, las organizaciones también pueden bloquear el tráfico SMB saliente en el puerto 445. Esto evita que se produzca el intento de autenticación de recursos compartidos de archivos remotos a través de Internet. Microsoft también lanzó una auditoría herramienta en GitHub para ver si su organización se ha visto afectada.
TrustedSec informes La inteligencia militar rusa ha estado explotando esta vulnerabilidad durante aproximadamente un año, así que corríjala ahora para mantenerse a salvo.
“Adicto a la televisión total. Experto en viajes. Gurú de Twitter. Evangelista de tocino. Creador galardonado. Aficionado al alcohol. Fanático de la música. Solucionador de problemas”.
