Los actores de amenazas podrían aprovechar una falla de seguridad ahora parcheada en Microsoft Outlook para acceder a contraseñas hash de NT LAN Manager (NTLM) v2 al abrir un archivo especialmente diseñado.
El problema, registrado como CVE-2023-35636 (puntuación CVSS: 6,5), fue abordado por el gigante tecnológico como parte de sus actualizaciones del martes de parches para diciembre de 2023.
“En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando el archivo especialmente diseñado al usuario y convenciéndolo de que abra el archivo”, dijo Microsoft. dicho en un aviso publicado el mes pasado.
En un escenario de ataque basado en web, un atacante podría alojar un sitio web (o aprovechar un sitio web comprometido que acepte o aloje contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para explotar la vulnerabilidad”.
Dicho de otra manera, el adversario tendría que convencer a los usuarios para que hagan clic en un enlace, ya sea incrustado en un correo electrónico de phishing o enviado a través de un mensaje instantáneo, y luego engañarlos para que abran el archivo en cuestión.
CVE-2023-35636 tiene su origen en la función para compartir calendario de la aplicación de correo electrónico Outlook, en la que se crea un mensaje de correo electrónico malicioso insertando dos encabezados “Content-Class” y “x-sharing-config-url” con valores diseñados para exponer el hash NTLM de una víctima durante la autenticación.
El investigador de seguridad de Varonis, Dolev Taler, a quien se le atribuye el mérito de descubrir e informar el error, dijo que los hashes NTLM podrían filtrarse aprovechando el Analizador de rendimiento de Windows (WPA) y el Explorador de archivos de Windows. Sin embargo, estos dos métodos de ataque siguen sin parches.
“Lo que hace que esto sea interesante es que WPA intenta autenticarse utilizando NTLM v2 en la web abierta”, Taler dicho.
“Por lo general, se debe utilizar NTLM v2 al intentar autenticarse en servicios internos basados en direcciones IP. Sin embargo, cuando el hash NTLM v2 pasa a través de Internet abierto, es vulnerable a ataques de retransmisión y de fuerza bruta fuera de línea”.
La divulgación se produce cuando Check Point reveló un caso de “autenticación forzada” que podría usarse como arma para filtrar los tokens NTLM de un usuario de Windows engañando a la víctima para que abra un archivo falso de Microsoft Access.
Microsoft, en octubre de 2023, anunció planes para descontinuar NTLM en Windows 11 en favor de Kerberos para mejorar la seguridad debido a que no admite métodos criptográficos y es susceptible a ataques de retransmisión.
About the Author
