Outlook zero-day sigue siendo vulnerable a los atacantes con acceso previo, dicen los investigadores

Escucha el artículo
3 minutos

Este audio se genera automáticamente. Por favor, háganos saber si tiene algún comentario.

Un parche lanzado la semana pasada para abordar una vulnerabilidad crítica de día cero en Microsoft Outlook no protege completamente las redes informáticas de los ataques, dijeron investigadores el lunes.

dominique chellDirector en MDSecY dormananalista senior senior de vulnerabilidades en Analygencedicho parche lanzado para arreglar CVE-2023-23397 todavía se puede eludir si un atacante ha obtenido acceso a un sistema.

Investigadores de Microsoft y luego de Mandiant advirtieron que los actores de amenazas vinculados al estado abusaron de la vulnerabilidad para lanzar ataques contra infraestructura crítica en varios países europeos, luego de advertencias anticipadas de funcionarios ucranianos.

Los investigadores de Mandiant han advertido sobre una posible escalada en los ataques que involucran a otros actores vinculados al estado y piratas informáticos con motivaciones financieras.

Chell encontró la debilidad en las mitigaciones y planeó contactar a Microsoft sobre los hallazgos, Dorman dice Cybersecurity Dive.

La actualización de Microsoft evita los sonidos de devolución de llamada especificados por el remitente en hosts que Windows considera que están en la red local, dijo Dormann.

La vulnerabilidad aún podría explotarse si el atacante fuera un interno o tuviera acceso a través de un host comprometido, según Dormann.

Los atacantes aprovechan la vulnerabilidad para enviar correos electrónicos maliciosos que el usuario no tiene que abrir, según Huntress. Luego, los atacantes capturaron Red-NTLMv2 hachísque permiten al atacante autenticarse en un entorno Windows y elevar sus privilegios.

“El adversario necesita al menos un punto de apoyo con acceso inicial”, dijo John Hammond, investigador principal de seguridad en Huntress. «Esto hace que el exploit sea menos fácil de atacar y extraer de lo que era sin el parche, pero sigue siendo un vector de ataque válido para los equipos rojos, los evaluadores de penetración o, por supuesto, los actores malintencionados que ya han tenido acceso al entorno».

La actualización de seguridad de Microsoft para CVE-2023-23397 «protege a los clientes de filtrar hashes NTLM fuera de su red», dijo un portavoz de Microsoft por correo electrónico.

El portavoz confirmó que la técnica descrita por los investigadores requeriría que un atacante ya haya obtenido acceso a una red interna.

Por lo tanto, los clientes deben aplicar el parche para mantenerse seguros, según el portavoz.

Microsoft instó a los clientes nuevamente ver instrucciones para aplicar actualizaciones de seguridad. La empresa también sugirió revisar las instrucciones para mitigar Ataques Pass-the-Hash.