Bl0ckch41nnewsVulnerabilidades en Outlook permiten nuevas formas de filtrar hashes NTLM
Los actores de amenazas podrían aprovechar una falla de seguridad
ahora parcheada en Microsoft Outlook (CVE-2023-35636) para acceder a contraseñas hash de NT LAN Manager (NTLM) v2 al abrir un
archivo especialmente diseñado.
El problema, registrado como CVE-2023-35636 (puntuación CVSS: 6,5), fue
abordado como parte de sus
actualizaciones del martes de parches para diciembre de 2023.
«En un escenario de ataque por correo electrónico, un atacante podría
explotar la vulnerabilidad enviando el archivo especialmente diseñado al
usuario y convenciéndolo de que abra el archivo», dijo Microsoft en un
aviso
publicado el mes pasado.
«En un escenario de ataque basado en web, un atacante podría alojar un
sitio web (o aprovechar un sitio web comprometido que acepte o aloje
contenido proporcionado por el usuario) que contenga un archivo
especialmente diseñado para explotar la vulnerabilidad».
Dicho de otra manera, el adversario tendría que convencer a los usuarios para
que hagan clic en un enlace, ya sea incrustado en un correo electrónico de
phishing o enviado a través de un mensaje instantáneo, y luego engañarlos para
que abran el archivo en cuestión.
CVE-2023-35636 tiene su origen en la función para compartir calendario en la
aplicación de correo electrónico Outlook, en la que se crea un mensaje de
correo electrónico malicioso insertando
dos encabezados
«Content-Class» y «x-sharing-config-url» con valores manipulados
para exponer el hash NTLM de una víctima durante la autenticación.
El investigador de seguridad de Varonis, Dolev Taler, a quien se le atribuye
el mérito de descubrir e informar el error, dijo que los hashes NTLM podrían
filtrarse aprovechando el analizador de rendimiento de Windows (WPA) y el
explorador de archivos. Y, estos dos métodos de ataque siguen sin parches.
«Lo que hace que esto sea interesante es que WPA intenta autenticarse
utilizando NTLM v2 en la web abierta»,
dijo Taler.
«Por lo general, se debe utilizar NTLM v2 al intentar autenticarse en
servicios internos basados en direcciones IP. Sin embargo, cuando el hash
NTLM v2 pasa a través de Internet abierto, es vulnerable a ataques de
retransmisión y de fuerza bruta fuera de línea».
La divulgación se produce cuando
Check Point reveló
un caso de «autenticación forzada» que podría usarse como arma para filtrar
los tokens NTLM de un usuario de Windows engañando a la víctima para que abra
un archivo falso de Microsoft Access.
Microsoft, en octubre de 2023,
anunció planes para descontinuar NTLM
en Windows 11 en favor de Kerberos
para mejorar la seguridad debido a que no admite métodos criptográficos y es
susceptible a ataques de retransmisión.
Fuente:
THN
Los comentarios están cerrados.