Han surgido detalles técnicos sobre dos fallas de seguridad ahora parcheadas en Microsoft Windows que podrían ser encadenadas por actores de amenazas para lograr la ejecución remota de código en el servicio de correo electrónico Outlook sin ninguna interacción del usuario.
“Un atacante en Internet puede encadenar las vulnerabilidades para crear un exploit de ejecución remota de código (RCE) completo y sin hacer clic contra los clientes de Outlook”, dijo en un comunicado el investigador de seguridad de Akamai Ben Barnea, quien descubrió las vulnerabilidades. dos partes informe compartido con The Hacker News.
Los problemas de seguridad, que Microsoft solucionó en agosto y octubre de 2023, respectivamente, se enumeran a continuación:
- CVE-2023-35384 (Puntuación CVSS: 5,4) – Vulnerabilidad de omisión de característica de seguridad de plataformas HTML de Windows
- CVE-2023-36710 (Puntuación CVSS: 7,8) – Vulnerabilidad de ejecución remota de código de Windows Media Foundation Core
Akamai ha descrito CVE-2023-35384 como una solución para una falla de seguridad crítica que Microsoft parchó en marzo de 2023. Registrada como CVE-2023-23397 (puntuación CVSS: 9,8), la falla se relaciona con un caso de escalada de privilegios que podría dar como resultado el robo de credenciales NTLM y permitir que un atacante realice un ataque de retransmisión.
A principios de este mes, Microsoft, Proofpoint y Palo Alto Networks Unit 42 revelaron que un actor de amenazas ruso conocido como APT29 ha estado utilizando activamente el error como arma para obtener acceso no autorizado a las cuentas de las víctimas dentro de los servidores Exchange.
Vale la pena señalar que CVE-2023-35384 es también el segundo parche de omisión después de CVE-2023-29324, que también fue descubierto por Barnea y posteriormente corregido por Redmond como parte de las actualizaciones de seguridad de mayo de 2023.
“Encontramos otra solución a la vulnerabilidad original de Outlook: una solución que una vez más nos permitió obligar al cliente a conectarse a un servidor controlado por un atacante y descargar un archivo de sonido malicioso”, dijo Barnea.
CVE-2023-35384, como CVE-2023-29324, tiene su raíz en el análisis de una ruta por parte del Función MapUrlToZone que podría explotarse enviando un correo electrónico que contenga un archivo malicioso o una URL a un cliente Outlook.
“Existe una vulnerabilidad de omisión de características de seguridad cuando la plataforma MSHTML no logra validar la zona de seguridad correcta de las solicitudes de URL específicas. Esto podría permitir que un atacante haga que un usuario acceda a una URL en una zona de seguridad de Internet menos restringida de lo previsto”, señaló Microsoft. en su asesoría.
Al hacerlo, la vulnerabilidad no solo puede usarse para filtrar credenciales NTLM, sino que también puede encadenarse con la falla de análisis de sonido (CVE-2023-36710) para descargar un archivo de sonido personalizado que, cuando se reproduce automáticamente usando la función de sonido recordatorio de Outlook, puede conducir a una ejecución de código sin hacer clic en la máquina víctima.
CVE-2023-36710 afecta al Administrador de compresión de audio (ACM), un marco multimedia heredado de Windows que se utiliza para administrar códecs de audio y es el resultado de una vulnerabilidad de desbordamiento de enteros que se produce al reproducir un archivo WAV.
“Finalmente, logramos activar la vulnerabilidad usando el códec IMA ADP”, explicó Barnea. “El tamaño del archivo es de aproximadamente 1,8 GB. Al realizar la operación de límite matemático en el cálculo, podemos concluir que el tamaño de archivo más pequeño posible con el códec IMA ADP es 1 GB”.
Para mitigar los riesgos, se recomienda que las organizaciones utilicen la microsegmentación para bloquear las conexiones SMB salientes a direcciones IP públicas remotas. Además, también recomendó deshabilitar NTLM o agregar usuarios al Grupo de seguridad Usuarios protegidoslo que impide el uso de NTLM como mecanismo de autenticación.