Llegamos a ustedes gracias a:



Noticias

Microsoft corrige una falla crítica de Outlook

[11/05/2023] Microsoft solucionó esta semana una nueva vulnerabilidad que podría utilizarse para eludir las defensas que la empresa puso en marcha en marzo para una vulnerabilidad crítica de Outlook que los ciberespías rusos explotaron en la naturaleza. Esa vulnerabilidad permitía a los atacantes robar hashes NTLM simplemente enviando correos electrónicos específicamente diseñados a los usuarios de Outlook. El exploit no requiere interacción por parte del usuario.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

La nueva vulnerabilidad, parcheada el martes y rastreada como CVE-2023-29324, se encuentra en la plataforma MSHTML de Windows, y puede utilizarse para engañar a una comprobación de seguridad empleada como parte del parche de vulnerabilidad de Outlook de marzo para que piense que una ruta en Internet es local, eludiendo así las comprobaciones de zonas de confianza. Microsoft calificó la nueva vulnerabilidad con una puntuación de gravedad de 6,5 sobre 10 (media), pero el equipo de seguridad de Akamai que encontró la vulnerabilidad cree que debería haber recibido una calificación más alta.

"Nuestra investigación indica que la nueva vulnerabilidad vuelve a permitir la explotación de una vulnerabilidad crítica que fue vista in the wild y utilizada por operadores APT", dijeron los investigadores de Akamai a CSO por correo electrónico. "Seguimos creyendo que nuestro hallazgo es de alta gravedad. En manos de un actor malicioso, todavía podría tener las mismas consecuencias que el fallo crítico original de Outlook".

La falla original de Outlook y su solución

La vulnerabilidad de Outlook parcheada en marzo se registra como CVE-2023-23397 y obtuvo una calificación de 9,8 sobre 10 en la escala CVSS. Se describe como una falla de escalada de privilegios porque los atacantes pueden engañar al cliente de correo electrónico Microsoft Outlook, así como a Microsoft Exchange, para que se comuniquen automáticamente con un servidor remoto en Internet mediante el protocolo SMB, que normalmente se utiliza en redes locales, y filtren hashes NTLM. Un hash NTLM es una representación criptográfica de las credenciales locales de Windows de un usuario, y sirve como token de autenticación para acceder a los recursos de red.

Los atacantes pueden intentar descifrar los hashes NTLM fuera de línea para recuperar las contraseñas de los usuarios o utilizarlos en ataques conocidos como NTLM relay o pass-the-hash, en los que el hash NTLM capturado se pasa a otro servicio legítimo para autenticarse como usuario.

Cuando se parcheó, la falla ya tenía categoría de día cero porque un agente de amenazas conocido como STRONTIUM, Fancy Bear o APT28, que se cree que está vinculado a la agencia de inteligencia militar rusa GRU, ya había estado explotando la falla en ataques contra organizaciones gubernamentales, de transporte, energéticas y militares en Europa.

El exploit en sí consistía en aprovechar una función de Outlook que permite a los usuarios enviar recordatorios por correo electrónico con sonidos de notificación personalizados. El sonido personalizado se especifica como una ruta mediante una propiedad extendida de la interfaz de programación de aplicaciones de mensajería (MAPI) denominada PidLidReminderFileParameter. Los atacantes creaban correos electrónicos en los que esta propiedad se establecía en una ruta UNC creada específicamente para que el cliente Outlook intentara cargar el archivo desde un servidor SMB remoto en Internet. Como parte del protocolo SMB, el cliente enviaba el hash Net-NTLMv2 de la computadora.

La solución a este problema consistía en utilizar un método de la API de la plataforma MSHTML llamado IInternetSecurityManager::MapUrlToZone para validar mejor la ruta UNC y determinar a qué zona de seguridad pertenece. Si la ruta conduce a una ubicación que no forma parte de las zonas local, de intranet (red local) o de confianza, el cliente de Outlook ya no obtendrá el archivo de sonido personalizado y reproducirá el predeterminado.

La plataforma MSHTML es el motor de renderizado HTML de Internet Explorer 11 y, aunque IE11 ha quedado obsoleto, el motor sigue existiendo en el control Windows WebBrowser que utilizan otras aplicaciones como Outlook para mostrar contenido HTML.

La desviación de MapUrlToZone al parche de Microsoft para Outlook

El investigador de seguridad de Akamai, Ben Barnea, analizó el parche de marzo de Microsoft y vio que, si MapUrlToZone determina que la ruta UNC cae en una de las tres zonas de confianza, se llama a otra función llamada CreateFile para acceder a esa ruta. Para evitar la corrección, tendría que encontrar una ruta que MapUrlToZone determine que es de confianza, pero que CreateFile siga tratando como de Internet e intente acceder a través de SMB.

Tras realizar pruebas, descubrió que las rutas con el formato "\.\UNC\\Akamai.com\file.wav" pasaban la comprobación de MapUrlToZone, pero CreateFile las trataba como rutas de Internet. "Este problema parece deberse a la compleja gestión de las rutas en Windows", explicó Barnea. MapUrlToZone y CreateFile utilizan funciones diferentes para convertir las rutas. MapUrlToZone llama a la función CreateUri, que convierte incorrectamente la ruta en una ruta que apunta a un directorio llamado UNC en la raíz de la unidad C:\, por tanto, un directorio local. Sin embargo, CreateFile utiliza una función llamada RtlpDosPathNameToRelativeNtPathName para convertir la ruta y esta función la convierte en \??\UNC\Akamai.com\file.wav. Esto hace que la solicitud se enrute a través del controlador del Proveedor de UNC Múltiple (MUP), que la interpretará como una ruta SMB al nombre de dominio Akamai.com.

"Creemos que este tipo de confusión puede potencialmente causar vulnerabilidades en otros programas que utilizan MapUrlToZone en una ruta controlada por el usuario, y luego utilizan una operación de archivo (como CreateFile o una API similar) en la misma ruta", sostuvo Barnea en su informe. "Tampoco podemos descartar que surjan otros problemas en programas que llaman a CreateUri".

En otras palabras, la propiedad PidLidReminderFileParameter de Outlook podría ser sólo una forma de enviar rutas a una aplicación de Windows para que las recupere, pero podría no ser la única, ya que esta nueva vulnerabilidad se encuentra en MapUrlToZone.

Según Microsoft, las mitigaciones para los servidores de Microsoft Exchange ya evitan esta desviación, pero el parche para los clientes independientes de Outlook no lo hace. Como resultado, la compañía actualizó su guía de mitigación para la falla de Outlook para requerir los parches tanto para CVE-2023-29324 como para CVE-2023-29324.

Casos de éxito

Más »