Microsoft ha publicado una guía detallada para ayudar a sus usuarios a detectar indicadores de compromiso (IoC) asociados con una vulnerabilidad crítica de Outlook que fue corregida recientemente. La vulnerabilidad, rastreada como CVE-2023-23397, se relaciona con un caso de escalada de privilegios que podría ser explotado por los atacantes para robar hashes de NT Lan Manager (NTLM) y organizar un ataque de retransmisión sin requerir ninguna interacción del usuario.

Los actores de amenazas pueden explotar esta vulnerabilidad enviando mensajes con propiedades MAPI extendidas que contienen rutas UNC a recursos compartidos SMB controlados por atacantes, los cuales provocarían una conexión de la víctima a una ubicación no confiable del control de los atacantes filtrando el hash Net-NTLMv2 de la víctima a la red no confiable que un atacante puede transmitir a otro servicio y autenticarse como víctima. La compañía ha resuelto la vulnerabilidad como parte de sus actualizaciones de Patch Tuesday para marzo de 2023.

El equipo de respuesta a incidentes de Microsoft ha encontrado evidencia de una posible explotación de la deficiencia en abril de 2022. En una cadena de ataque descrita por el gigante tecnológico, un exitoso ataque de retransmisión Net-NTLMv2 permitió al actor de amenazas obtener acceso no autorizado a un servidor de Exchange y modificar los permisos de la carpeta del buzón para un acceso persistente. Microsoft ha señalado que, aunque aprovechar los hashes NTLMv2 para obtener acceso no autorizado a los recursos no es una técnica nueva, la explotación de CVE-2023-23397 es novedosa y sigilosa. Las organizaciones deben revisar el registro de eventos SMBClient, los eventos de creación de procesos y utilizar telemetría de red disponible para identificar la posible explotación a través de CVE-2023-23397.

La divulgación de la guía se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) lanzó una nueva herramienta de respuesta a incidentes de código abierto que ayuda a detectar signos de actividad maliciosa en los entornos de nube de Microsoft. La utilidad basada en Python ofrece «métodos novedosos de autenticación y recopilación de datos» para analizar los entornos de Microsoft Azure, Azure Active Directory y Microsoft 365, dijo la agencia. Microsoft por su parte ha instado a los clientes a mantener actualizados sus servidores de Exchange en las instalaciones, así como a tomar medidas para reforzar sus redes para mitigar posibles amenazas.

CVE-2023-23397 medidas de mitigación

Microsoft compartió una guía sobre cómo bloquear futuros ataques dirigidos a la vulnerabilidad de día cero en Outlook que se ha parcheado recientemente. La compañía ha instado a las organizaciones a instalar la actualización de seguridad de Outlook para abordar esta vulnerabilidad, independientemente de dónde esté alojado su correo o el soporte de su organización para la autenticación NTLM.

El equipo de Respuesta a Incidentes de Microsoft ha destacado otras medidas que las organizaciones en riesgo pueden tomar para mitigar tales ataques y el comportamiento posterior a la explotación. Estas incluyen la aplicación de las actualizaciones de seguridad más recientes para Microsoft Exchange Server local, para garantizar que las mitigaciones de defensa en profundidad estén activas. Además, se recomienda que las organizaciones utilicen la autenticación multifactor para mitigar el impacto de posibles ataques de retransmisión Net-NTLMv2. Sin embargo, Microsoft advierte que esto no evitará que los actores de amenazas filtren credenciales y las descifren sin conexión. También se recomienda que las organizaciones deshabiliten los servicios innecesarios en Exchange y limiten el tráfico SMB bloqueando las conexiones en los puertos 135 y 445 de todas las direcciones IP entrantes, excepto aquellas en una lista permitida controlada. Asímismo, recomienda que las organizaciones deshabiliten NTLM en su entorno para reducir el riesgo de futuros ataques.

Explotado por piratas informáticos militares rusos

La vulnerabilidad de día cero en Outlook ha estado bajo explotación activa desde al menos abril de 2022, y se ha utilizado para violar las redes de al menos 15 organizaciones gubernamentales, militares, de energía y de transporte en Europa. Microsoft ha vinculado públicamente estos ataques a «un actor de amenazas con sede en Rusia», y ha dicho que el grupo de piratería es APT28, también conocido como STRONTIUM, Sednit, Sofacy y Fancy Bear.

Este actor de amenazas ha estado previamente vinculado a la Dirección Principal del Estado Mayor General de las Fuerzas Armadas de la Federación Rusa (GRU), el servicio de inteligencia militar de Rusia. Microsoft cree que APT28 ha utilizado la vulnerabilidad de Outlook para robar credenciales y exfiltrar correos electrónicos de cuentas específicas. Los atacantes utilizaron las credenciales robadas para el movimiento lateral y para cambiar los permisos de la carpeta del buzón de correo de Outlook. Esta táctica les permitió exfiltrar correos electrónicos de cuentas específicas, lo que les permitió obtener información confidencial.

Los ataques de APT28 son un recordatorio de que las organizaciones deben tomar medidas para protegerse contra las amenazas cibernéticas avanzadas. Las vulnerabilidades de día cero son especialmente preocupantes, ya que son desconocidas y, por lo tanto, difíciles de detectar y mitigar. Las organizaciones deben asegurarse de implementar medidas de seguridad efectivas, como la autenticación multifactor y la segmentación de red, para reducir el riesgo de ataques exitosos.

Fuente:

• https://thehackernews.com/2023/03/microsoft-warns-of-stealthy-outlook.html
• https://www.bleepingcomputer.com/news/security/microsoft-shares-tips-on-detecting-outlook-zero-day-exploitation/