Vulnerabilidad de elevación de privilegios de Microsoft Outlook
También conocida como CVE-2023-23397, es una vulnerabilidad crítica de día cero “0-Day” que afecta a Microsoft Outlook. A diferencia de otros exploits que hemos visto en el pasado, este exploit es particularmente peligroso porqueno se requiere interacción del usuario para desencadenar el exploit . Una vez que un correo electrónico infectado llega a la bandeja de entrada de Microsoft Outlook, se pueden obtener hash de credenciales confidenciales.
El pasado martes 14 de Marzo, en el famoso “Patch Tuesday” , Microsoft lanzó un parche para remediar la vulnerabilidad, por lo que recomendamos parchear de inmediato para protegerse a usted y a sus entornos de este peligroso exploit.
CVE-2023-23397 afecta a todos los productos de Microsoft Outlook en el sistema operativo Windows. Es una escalada crítica de vulnerabilidad de privilegios a través del robo de credenciales NTLM.
Los atacantes pueden crear un mensaje de correo electrónico especialmente diseñado, una invitación de calendario o una tarea que contenga la propiedad MAPI extendida "PidLidReminderFileParameter".
Nota importante: Outlook en la web y Microsoft 365 no admiten la autenticación NTLM y no son vulnerables. Esta vulnerabilidad solo afecta el cliente de Outlook
¿Qué hace?
Los actores de amenazas están explotando esta vulnerabilidad mediante el envío de un correo electrónico malicioso que, nuevamente, no necesita abrirse . Desde aquí, los atacantes capturan hashes Net-NTLMv2, que permiten la autenticación en entornos Windows. Esto permite que los actores de amenazas se autentiquen potencialmente como víctimas, aumenten los privilegios o comprometan aún más el medio ambiente.
¿Qué debo hacer?
Primero identifiqué si tienen sistemas vulnerables en su red, como se mencionó anteriormente, las versiones en la nube de Outlook y O365 no son vulnerables a este ataque, pero las versiones en premisa si lo son.
Hay un parche de seguridad disponible para corregir este problema, las instrucciones para mitigar esta vulnerabilidad las puede encontrar en el siguiente enlace.
Es importante aplicar este parche de seguridad lo antes posible en todos sus equipos, ya que parchea más de 80 vulnerabilidades descubiertas en el último mes, incluyendo otra vulnerabilidad de día cero con un alto grado de impacto”Windows SmartScreen Security Feature Bypass Vulnerability” CVE-2023-24880
Además del parcheo, Microsoft también recomienda las siguientes acciones para minimizar el riesgo.
● Agregue usuarios al grupo de seguridad de usuarios protegidos, lo que impide el uso de NTLM como mecanismo de autenticación.
○ Realizar esta mitigación hace que la solución de problemas sea más fácil que otros métodos para deshabilitar NTLM.
○ Considere usarlo para cuentas de alto valor, como administradores de dominio, cuando sea posible.
○ Tenga en cuenta: esto puede afectar a las aplicaciones que requieren NTLM; sin embargo, la configuración se revertirá una vez que se elimine al usuario del grupo de usuarios protegidos.
● Bloquee el TCP 445/SMB saliente de su red mediante un firewall perimetral, un firewall local y mediante la configuración de su VPN. Esto evitará el envío de mensajes de autenticación NTLM a recursos compartidos de archivos remotos.
Microsoft también puso a disposición una PoC “CVE-2023-23397.ps1” es un script que verifica los elementos de mensajería de Exchange (correo, calendario y tareas) para ver si una propiedad se completa con una ruta UNC.
Si es necesario, los administradores pueden usar este script para limpiar la propiedad en busca de elementos maliciosos o incluso eliminar los elementos de forma permanente.
La pueden descargar en el siguiente enlace.
https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
Adicional a estas mitigaciones ya hay disponible una regla YARA y una regla SIGMA para implementar en los equipos que lo soporten y detectar este comportamiento.