La Importancia de Abordar Vulnerabilidades en Microsoft Outlook para Reforzar la Seguridad Cibernética
Las amenazas podrían explotar una falla de seguridad ya corregida en Microsoft Outlook para obtener acceso a contraseñas hash de NT LAN Manager (NTLM) v2 al abrir un archivo especialmente diseñado.
La vulnerabilidad, identificada como CVE-2023-35636 (con una puntuación CVSS de 6.5), solucionada por el tecnológico como parte de actualizaciones de parches de diciembre de 2023.
Microsoft, en un aviso publicado el mes pasado, explicó que un atacante podría aprovechar esta vulnerabilidad en un escenario de ataque por correo electrónico, enviando el archivo manipulado al usuario y persuadiéndolo para que lo abra.
De manera similar, en un escenario de ataque basado en web, el atacante podría alojar un sitio web o aprovechar uno comprometido para engañar a los usuarios y hacer que abran el archivo.
La vulnerabilidad CVE-2023-35636 se origina en la función de compartir calendarios en Outlook, manipulando encabezados en correos maliciosos para exponer hashes NTLM de la víctima.
El investigador de seguridad de Varonis, Dolev Taler, quien descubrió la falla, señaló que los hashes NTLM podrían filtrarse utilizando el Analizador de rendimiento de Windows (WPA) y el Explorador de archivos de Windows. Sin embargo, aún no se han aplicado parches para estos métodos de ataque.
Esta divulgación coincide con la revelación de Check Point sobre un caso de «autenticación forzada», que podría aprovecharse para filtrar los tokens NTLM de un usuario de Windows, engañándolo para que abra un archivo falso de Microsoft Access.
En respuesta a estas vulnerabilidades, Microsoft anunció en octubre de 2023 planes para descontinuar NTLM en Windows 11 a favor de Kerberos, con el objetivo de mejorar la seguridad, ya que NTLM no admite métodos criptográficos y es vulnerable a ataques de retransmisión.
Fuente:
https://thehackernews.com/2024/01/researchers-uncover-outlook.html