febrero 26, 2024

Este truco de contraseña significa que su empleador necesita parchear Microsoft Outlook hoy

Los piratas informáticos buscan constantemente nuevas formas de infiltrarse en las redes seguras. Este es un desafío difícil porque todas las empresas responsables invierten en seguridad. Sin embargo, un método que siempre será efectivo es el uso de nuevas vulnerabilidades en productos de software populares.


Recientemente se descubrió una vulnerabilidad en Outlook que permite a los hackers robar contraseñas simplemente enviando un correo electrónico al titular de la cuenta. Se ha lanzado un parche, pero muchas empresas aún no han actualizado su versión de Outlook.

Entonces, ¿qué es esta vulnerabilidad y cómo pueden las empresas defenderse de ella?


¿Qué es la vulnerabilidad CVE-2023-23397?

La vulnerabilidad CVE-2023-23397 es una vulnerabilidad de escalada de privilegios que afecta a Microsoft Outlook que se ejecuta en Windows.

Se cree que esta vulnerabilidad fue utilizada desde abril hasta diciembre de 2022 por actores estatales nacionales contra una amplia variedad de industrias. Se lanzó un parche en marzo de 2023.

Si bien el lanzamiento de un parche significa que las organizaciones pueden defenderse fácilmente contra él, el hecho de que ahora sea ampliamente publicitado significa que el riesgo para las empresas que no aplican el parche ha aumentado.

No es raro que las vulnerabilidades utilizadas inicialmente por los estados nacionales sean utilizadas ampliamente por piratas informáticos individuales y grupos de piratas informáticos una vez que se conoce su disponibilidad.

¿Quién se ve afectado por la vulnerabilidad de Microsoft Outlook?

un candado frente al riel en un bloc de notas

La vulnerabilidad CVE-2023-23397 solo es efectiva contra Outlook que se ejecuta en Windows. Los usuarios de Android, Apple y la web no se ven afectados y no necesitan actualizar su software.

Es poco probable que las personas sean objetivo porque hacerlo no es tan rentable como apuntar a un negocio. Sin embargo, si una persona usa Outlook para Windows, aún debe actualizar su software.

Es probable que las empresas sean el objetivo principal porque muchas usan Outlook para Windows para proteger sus datos importantes. La facilidad con la que se puede realizar el ataque y la cantidad de empresas que utilizan el software significan que es probable que la vulnerabilidad sea popular entre los piratas informáticos.

¿Cómo funciona la vulnerabilidad?

Este ataque utiliza un correo electrónico con propiedades específicas que hace que Microsoft Outlook revele el hash NTLM de la víctima. NTLM significa New Technology LAN Master y este hash se puede usar para la autenticación de la cuenta de la víctima.

El correo electrónico adquiere el hash mediante una propiedad extendida de la interfaz de programación de aplicaciones de mensajería (MAPI) de Microsoft Outlook que contiene la ruta a un recurso compartido de bloque de mensajes del servidor controlado por el atacante.

Cuando Outlook recibe este correo electrónico, intenta autenticarse en el recurso compartido SMB mediante su hash NTLM. El pirata informático que controla el recurso compartido SMB puede acceder al hash.

¿Por qué la vulnerabilidad de Outlook es tan efectiva?

CVE-2023-23397 es una vulnerabilidad real por varias razones:

  • Outlook es utilizado por una amplia variedad de empresas. Esto lo hace atractivo para los piratas informáticos.
  • La vulnerabilidad CVE-2023-23397 es fácil de usar y no requiere muchos conocimientos técnicos para implementarla.
  • La vulnerabilidad CVE-2023-23397 es difícil de defender. La mayoría de los ataques basados ​​en correo electrónico requieren que el destinatario interactúe con el correo electrónico. Esta vulnerabilidad es efectiva sin ninguna interacción. Por esta razón, educar a los empleados sobre los correos electrónicos de phishing o decirles que no descarguen archivos adjuntos de correo electrónico (las formas tradicionales de evitar correos electrónicos maliciosos) no tiene ningún efecto.
  • Este ataque no utiliza ningún tipo de malware. Debido a esto, no será detectado por el software de seguridad.

¿Qué sucede con las víctimas de esta vulnerabilidad?

portátil bloqueado y bandera de calavera

La vulnerabilidad CVE-2023-23397 permite que un atacante obtenga acceso a la cuenta de una víctima. Por lo tanto, el resultado depende de a qué tenga acceso la víctima. El atacante puede robar datos o lanzar un ataque de ransomware.

Si la víctima tiene acceso a datos privados, el atacante puede robarlos. En el caso de la información del cliente, se puede vender en la dark web. Esto no solo es problemático para los clientes, sino también para la reputación de la empresa.

El atacante también puede cifrar información privada o importante utilizando el ransomware. Después de un ataque exitoso de ransomware, todos los datos son inaccesibles a menos que la empresa pague al atacante un pago de rescate (incluso entonces, los ciberdelincuentes pueden decidir no descifrar los datos).

Cómo comprobar si estás afectado por la vulnerabilidad CVE-2023-23397

Si cree que su empresa ya se ha visto afectada por esta vulnerabilidad, puede verificar automáticamente su sistema utilizando un script de PowerShell de Microsoft. Este script busca en sus archivos y busca los parámetros utilizados en este ataque. Una vez que los encuentre, puede eliminarlos de su sistema. Se puede acceder al script a través de Microsoft.

Cómo protegerse de esta vulnerabilidad

La mejor manera de protegerse contra esta vulnerabilidad es actualizar todo el software de Outlook. Microsoft lanzó un parche el 14 de marzo de 2023 y, una vez instalado, cualquier intento de este ataque será ineficaz.

Si bien la aplicación de parches de software debe ser una prioridad para todas las empresas, si por alguna razón esto no se puede lograr, existen otras formas de evitar que este ataque tenga éxito. Incluyen:

  • Bloquear el TCP 445 saliente. Este ataque usa el puerto 445 y si no es posible la comunicación a través de ese puerto, el ataque fallará. Si necesita el puerto 445 para otros fines, debe monitorear todo el tráfico en ese puerto y bloquear cualquier cosa que se dirija a una dirección IP externa.
  • Agregue todos los usuarios al grupo de seguridad de usuarios protegidos. Ningún usuario de este grupo puede utilizar NTLM como método de autenticación. Es importante tener en cuenta que esto también puede interferir con cualquier aplicación que se base en NTLM.
  • Requerir que todos los usuarios deshabiliten la configuración Mostrar recordatorios en Outlook. Esto podría evitar que el atacante acceda a las credenciales NTLM.
  • Requerir que todos los usuarios deshabiliten el servicio WebClient. Es importante tener en cuenta que esto evitará todas las conexiones de WebDev incluso en la intranet y, por lo tanto, no es necesariamente una opción adecuada.

Necesitas arreglar la vulnerabilidad CVE-2023-23397

La vulnerabilidad CVE-2023-23397 es importante debido a la popularidad de Outlook y la cantidad de acceso que proporciona a un atacante. Un ataque exitoso le permite al atacante obtener acceso a la cuenta de la víctima, que puede usarse para robar o cifrar datos.

La única forma de protegerse adecuadamente contra este ataque es actualizar su software de Outlook con el parche necesario que Microsoft ha puesto a su disposición. Cualquier empresa que no haga esto es un objetivo atractivo para los piratas informáticos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *