Observatorio de Amenazas

Outlook: Una vulnerabilidad de ejecución remota de código

Escrito por Javiera González | 05-02-24

Dos vulnerabilidades ahora remediadas en Microsoft Windows podrían ser encadenadas por los actores de amenazas para lograr la ejecución remota de código (RCE) en el servicio de correo electrónico de Outlook sin ninguna interacción del usuario.

Detalles del ataque

La primera vulnerabilidad, rastreada como CVE-2023-35384, es una vulnerabilidad de elusión de la función de seguridad que podría permitir a un atacante hacer que un usuario acceda a una URL en una zona de seguridad de Internet menos restringida de lo previsto. Esto podría utilizarse para filtrar las credenciales de NTLM.

La segunda vulnerabilidad, rastreada como CVE-2023-36710, es una vulnerabilidad de desbordamiento de enteros que se produce al reproducir un archivo WAV. Cuando se combina con la primera vulnerabilidad, un atacante podría descargar un archivo de sonido personalizado que, cuando se reproduce automáticamente utilizando la función de sonido de recordatorio de Outlook, podría conducir a una ejecución de código de clic cero en la máquina de la víctima.

Vulnerabilidades

  • CVE-2023-35384

Esta vulnerabilidad se encuentra en la función MapUrlToZone de la plataforma MSHTML. Esta función se utiliza para determinar la zona de seguridad de una URL. La vulnerabilidad permite a un atacante hacer que Outlook clasifique una URL como si estuviera en una zona de seguridad menos restringida de lo que debería.

Un atacante podría explotar esta vulnerabilidad enviando un correo electrónico que contenga un archivo malicioso o una URL a un cliente de Outlook. Si el usuario abre el archivo o hace clic en la URL, Outlook podría clasificar la URL como si estuviera en una zona de seguridad de Internet. Esto permitiría al atacante acceder a información confidencial, como las credenciales de NTLM.

  • CVE-2023-36710

Esta vulnerabilidad se encuentra en el componente Audio Compression Manager (ACM) de Windows. Este componente se utiliza para administrar códecs de audio. La vulnerabilidad permite a un atacante desbordar un búfer al reproducir un archivo WAV.

Un atacante podría explotar esta vulnerabilidad enviando un archivo de sonido personalizado a un cliente de Outlook. Si el usuario abre el archivo, Outlook podría reproducirlo automáticamente utilizando la función de sonido de recordatorio de Outlook. Esto podría conducir a la ejecución de código de clic cero en la máquina de la víctima.

Recomendaciones:

Para protegerse de estos ataques debe mantener al día su conocimiento sobre las estrategias de ataque, implementar las últimas actualizaciones de seguridad de Microsoft y configurar la seguridad de los puntos finales para evitar este tipo de campañas maliciosas.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos como lo es la ingeniería social y/o el phishing, a través de la implementación de programas online de concientización y capacitación. Con el fin que tener colaboradores conscientes de su rol en la seguridad que operen bajo una conducta que aporte a la ciberdefensa.

Adicionalmente, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.

Medidas de mitigación:

Para mitigar el riesgo de esta vulnerabilidad, las organizaciones pueden tomar las siguientes medidas:

  • Implementar las últimas actualizaciones de seguridad de Microsoft. Microsoft lanzó una actualización de seguridad para abordar esta vulnerabilidad el 12 de julio de 2023. Las organizaciones deben instalar esta actualización lo antes posible para protegerse.
  • Utilizar un software de seguridad que pueda detectar y bloquear el exploit. Hay varios productos de seguridad que pueden detectar y bloquear el exploit CVE-2023-23397. Las organizaciones deben implementar uno de estos productos para proteger sus sistemas.
  • Educar a los empleados sobre las amenazas de correo electrónico malicioso y cómo identificarlo. Los empleados deben estar capacitados para identificar y evitar correos electrónicos maliciosos. Las organizaciones deben proporcionar capacitación sobre seguridad a sus empleados para ayudar a proteger sus sistemas.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

        • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
        • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
        • Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

Asegura tu negocio de las amenazas cibernéticas

CONOCE NUESTROS SERVICIOS ADMINISTRADOS AQUÍ

Fuentes

https://thehackernews.com/2023/12/beware-experts-reveal-new-details-on.html

https://es.linkedin.com/pulse/cuidado-expertos-revelan-nuevos-detalles-sobre-exploits-rce-de-1iukc?trk=article-ssr-frontend-pulse_more-articles_related-content-card

https://www.linkedin.com/pulse/ataque-silencioso-por-correo-cve-2023-35628-c%C3%B3mo-hackear-sin-a4tcc/?trk=article-ssr-frontend-pulse_more-articles_related-content-card&originalSubdomain=es

https://blogs.masterhacks.net/noticias/hacking-y-ciberdelitos/expertos-revelan-nuevos-detalles-sobre-los-exploits-rce-zero-click-de-outlook/ 

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35384

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36710 
Ver post completo