El martes 14 de Marzo de 2023, Microsoft lanzó una actualización de seguridad para corregir 80 fallas de seguridad en sus sistemas operativos. De estas 80 vulnerabilidades, dos de ellas son particularmente críticas, ya que están siendo explotadas activamente por los ciberdelincuentes:

• CVE-2023-23397 (puntuación CVSS: 9.8): Vulnerabilidad zero-day en Microsoft Outlook que permite escalar de privilegios.
• CVE-2023-24880 (puntuación CVSS: 5.1): Permite bypass de la función de seguridad de Windows SmartScreen.

Microsoft parchea, entre otras, una vulnerabilidad zero-day (CVE-2023-23397) la cual estaba siendo explotada por un grupo (registrado como APT28, STRONIUM, Sednit, Sofacy y Fancy Bear) relacionado con la Inteligencia Militar rusa con organizaciones europeas como objetivos principales.

Esta vulnerabilidad fue informada por CERT-UA, el Equipo de Respuesta a Emergencias Informáticas de Ucrania y es una falla de seguridad crítica en Outlook que permite la elevación de privilegios, esta vulnerabilidad se puede explotar sin la interacción del usuario.

Las pruebas desvelan que los gobiernos, industrias logísticas, petroleras, de defensa y transporte de países como Polonia, Ucrania, Rumanía y Turquía han sido víctimas desde Abril de 2022. Estas organizaciones pueden haber sido objeto de ataques con fines de inteligencia estratégica o como parte de la preparación de ciberataques dentro y fuera de Ucrania.

«El atacante podría explotar esta vulnerabilidad enviando un correo electrónico especialmente diseñado que se activa automáticamente cuando el cliente de Outlook lo recupera y lo procesa. Esto podría conducir a la explotación ANTES de que el correo electrónico se vea en el Panel de vista previa».

Extracto de un comunicado de seguridad acerca de la vulnerabilidad por parte de Microsoft.

Siendo más específicos, los atacantes pueden explotar esta vulnerabilidad enviando mensajes con propiedades MAPI extendidas que contienen rutas UNC a un SMB compartido (TCP 445) bajo su control. Esta conexión al servidor SMB remoto envía el mensaje de negociación NTLM del usuario, con este mensaje en su poder, el atacante podrá transmitirlo a otro servicio y lograr de esta manera autenticarse como la víctima.

El Windows New Technology Manager (NTLM) es un método de autenticación que se utiliza para iniciar sesión en dominios de Windows utilizando credenciales de inicio de sesión hasheadas. Aunque este tipo de autenticación conlleva algunos riesgos, todavía se utiliza en sistemas nuevos para poder lograr una compatibilidad con sistemas anteriores. Funciona con contraseñas hasehadas que el servidor recibe del cliente cuando intenta acceder a recursos compartidos, como los SMB; estos hashes, en caso de ser robados pueden ser usados para autenticarse en múltiples servicios y moverse lateralmente.

La vulnerabilidad CVE-2023-23397 afecta a todas las versiones compatibles de Microsoft Outlook para Windows, pero NO afecta a las versiones de Outlook para Android, iOS o macOS. Además, como las versiones online (como Outlook web o Microsoft 365), no admiten la autenticación por NTLM, no son vulnerables a ataques que apuntan a explotar estas vulnerabilidades NTLM, aunque, cabe aclarar que existen organizaciones que están ejecutando O365 todavía pueden ser vulnerables si sus usuarios están utilizando el cliente Outlook para Windows y permiten la autenticación NTLM a otros servicios.

Tenemos que señalar también la segunda vulnerabilidad que está siendo explotada, CVE-2023-24880; esta vulnerabilidad permite evadir la función de seguridad de la tecnología SmartScreen.

La tecnología SmartScreen se instaló en Microsoft Edge y en el sistema operativo Windows  para ayudar a los usuarios a protegerse de las descargas de malware debidos a phishings o ingeniería social. 

Esta vulnerabilidad es consecuencia de un parche de seguridad limitado que lanzó Microsoft el año pasado para resolver otra vulnerabilidad de SmartScreen (CVE-2022-44698, puntuación CVSS: 5.4) que fue explotada por atacantes motivados en desplegar el ransomware “Magniber”.

Debido a que no se abordó la causa detrás del bypass de SmartScreen, los atacantes pudieron identificar una variante diferente del error original. 

El TAG (Grupo de análisis de amenazas de Google), comunicó que se observaron más de 10.000 descargas de archivos MSI maliciosos que estaban firmados con una firma Authenticode malformada desde Enero de 2023, pudiendo permitir a los atacantes distribuir el ransomware “Magniber” sin elevar ninguna advertencia de seguridad. La mayoría de las descargas están asociadas a usuarios europeos.

Microsoft también cerró una serie de vulnerabilidades críticas de ejecución de código en remoto que afectan a la pila del protocolo HTTP (CVE-2023-23392 , puntuación CVSS: 9.8), el protocolo de mensajes de control de Internet (ICMP) (CVE-2023-23415 , puntuación CVSS: 9.8) y el “Remote Procedure Call Runtime” (CVE-2023-21708, CVSS score: 9.8).

Recomendaciones

Se recomienda aplicar la actualización de seguridad de manera inmediata.

Restringir el tráfico SMB saliente: En un entorno corporativo tradicional, esto se puede hacer con cortafuegos perimetrales, proxies web o cortafuegos basados en host (solución ideal). Si se utilizan puntos finales descentralizados con Outlook, se recomienda utilizar una tecnología proxy basada en web para bloquear el tráfico SMB saliente a subredes no RFC1918. En caso de no disponer de una tecnología proxy basada en web, se puede utilizar el cortafuegos basado en host para bloquear las conexiones SMB salientes a subredes no RFC1918.

Restringir el uso de la autenticación NTLM: Utilice el grupo de seguridad Usuarios Protegidos del Directorio Activo para las cuentas sensibles. Esto impide que las cuentas asignadas a este grupo utilicen NTLM y fuerza el uso de Kerberos. Existen algunas advertencias a la hora de utilizar la asignación de cuentas a este grupo de seguridad:

• Requiere un nivel funcional de dominio de al menos 2012R2.
• Los servicios o sistemas heredados que utilicen autenticación NTLM fallarán.
• No se recomienda añadir cuentas de servicio o cuentas de equipo a este grupo.
• Se requiere línea de visión a un controlador de dominio, el uso de credenciales en caché no funcionará.
• Las cuentas con hashes no AES (normalmente cuentas creadas históricamente en un nivel funcional de dominio de 2003) requerirán un restablecimiento de contraseña para funcionar.

También se lanzó un script para comprobar si la organización fue atacada, se puede encontrar en: https://aka.ms/CVE-2023-23397ScriptDoc. Debe de revisarse que las tareas, los mensajes de correo electrónico y los elementos del calendario que se detectan y apuntan a un recurso compartido no reconocido deben revisarse para determinar si son maliciosos. Si se detectan objetos, deben eliminarse o borrar el parámetro. Si no se detectan objetos, es poco probable que la organización haya sido atacada a través de CVE-2023-23397.

Más información

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24880
• https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/