Esta nueva vulnerabilidad crítica de Microsoft Outlook no necesita interacción del usuario
Investigadores de seguridad han compartido detalles técnicos para explotar una vulnerabilidad crítica de Microsoft Outlook para Windows (CVE-2023-23397). La vulnerabilidad permite a los hackers robar contraseñas codificadas de forma remota simplemente recibiendo un correo electrónico.
Microsoft lanzó ayer un parche para la vulnerabilidad de seguridad, pero se ha explotado como una vulnerabilidad de día cero en los ataques de retransmisión NTLM desde al menos mediados de abril de 2022.
El problema es una vulnerabilidad de escalada de privilegios con una clasificación de gravedad de 9.8 que afecta a todas las versiones de Microsoft Outlook en Windows.
Un atacante puede usarlo para robar credenciales NTLM simplemente enviando al objetivo un correo electrónico malicioso. No se necesita la interacción del usuario, ya que la explotación se produce cuando Outlook está abierto y el recordatorio se activa en el sistema.
Fácil explotación
Windows New Technology LAN Manager (NTLM) es un método de autenticación que se utiliza para iniciar sesión en dominios de Windows utilizando credenciales de inicio de sesión con hash.
Aunque la autenticación NTLM conlleva riesgos conocidos, todavía se usa en sistemas nuevos para lograr compatibilidad con sistemas más antiguos.
Funciona con hash de contraseñas que el servidor recibe de un cliente cuando intenta acceder a un recurso compartido, como recursos compartidos SMB. En caso de robo, estos hash se pueden usar para autenticarse en la red.
Microsoft explicó que un atacante puede usar CVE-2023-23397 para obtener hashes NTLM enviando “un mensaje con una propiedad MAPI extendida con una ruta UNC a un recurso compartido SMB (TCP 445) en un servidor controlado por un atacante”.
“La conexión al servidor SMB remoto envía el mensaje de negociación NTLM del usuario, que el atacante puede retransmitir para la autenticación contra otros sistemas que admitan la autenticación NTLM”.
– Microsoft
Sin embargo, explotar la vulnerabilidad requiere más detalles técnicos, que llegaron poco después de que Microsoft lanzara la solución de los investigadores de la empresa de consultoría de seguridad MDSec.
Después de revisar un script de Microsoft que verifica los elementos de mensajería de Exchange en busca de signos de explotación utilizando CVE-2023-23397, el miembro del equipo de MDSec, Dominic Chell, descubrió con qué facilidad un atacante podría aprovechar la vulnerabilidad.
Él descubrió que el script podía buscar la propiedad “PidLidReminderFileParameter” dentro de los elementos de correo recibidos y eliminarla cuando estuviera presente.
Chell explica que esta propiedad le permite al remitente definir el nombre de archivo que el cliente de Outlook debe reproducir cuando se activa el recordatorio del mensaje.
Prueba de concepto
La razón por la que esto fue posible sigue siendo un enigma que el investigador no pudo explicar, ya que el remitente de un correo electrónico no debería poder configurar el sonido para la alerta de mensaje nuevo en el sistema del receptor.
Chell señaló que si la propiedad aceptaba un nombre de archivo, también debería ser posible agregar una ruta UNC para activar la autenticación NTLM.
El investigador también descubrió que la propiedad PidLidReminderOverride podría usarse para hacer que Microsoft Outlook analice una ruta UNC remota y maliciosa en la propiedad PidLidReminderFileParameter.
Esta información permitió al investigador crear un correo electrónico de Outlook malicioso (.MSG) con una cita en el calendario que activaría la vulnerabilidad y enviaría los hashes NTLM del objetivo a un servidor arbitrario.
Estos hash NTLM robados se pueden usar para realizar ataques de retransmisión NTLM para un acceso más profundo a las redes corporativas.
Además de las citas del calendario, un atacante también podría usar tareas, notas o mensajes de correo electrónico de Microsoft Outlook para robar los hashes.
Chell señala que CVE-2023-23397 se puede utilizar para activar la autenticación en una dirección IP que se encuentra fuera de la zona de intranet de confianza o de los sitios de confianza.
MDSec compartió un video que muestra cómo se puede explotar la vulnerabilidad crítica recientemente parcheada en Microsoft Outlook:
Día cero para los hackers rusos
La vulnerabilidad fue encontrada e informada a Microsoft por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), probablemente después de verla utilizada en ataques dirigidos a sus servicios.
Según Microsoft, “atacantes con sede en Rusia” explotó la vulnerabilidad en ataques dirigidos contra varias organizaciones europeas en los sectores gubernamental, de transporte, energético y militar.
Se cree que el grupo de hackers detrás de los ataques es APT28 (también conocido como Strontium, Fancy Bear, Sednit, Sofacy). Anteriormente, este grupo ha sido vinculado a la Dirección Principal del Estado Mayor General de las Fuerzas Armadas de la Federación Rusa (GRU).
Se cree que hasta 15 organizaciones han sido atacadas o violadas mediante CVE-2023-23397, el último ataque ocurrió en diciembre pasado.
Después de obtener acceso, los hackers a menudo usan los marcos de código abierto de Impacket y PowerShell Empire para ampliar su control y pasar a sistemas más valiosos en la red para recopilar información.
Recomendamos encarecidamente a los administradores que prioricen la aplicación de parches CVE-2023-23397 y que utilicen el script de Microsoft para detectar signos de explotación al verificar si los elementos de mensajería en Exchange vienen con una ruta UNC.
