Incluso la seguridad típica del correo electrónico no lo protegerá de esta vulnerabilidad inteligente en Outlook. Afortunadamente, no estás indefenso.

Los piratas informáticos buscan constantemente nuevas formas de infiltrarse en las redes seguras. Este es un desafío difícil porque todas las empresas responsables invierten en seguridad. Sin embargo, un método que siempre será efectivo es el uso de nuevas vulnerabilidades en productos de software populares.

Recientemente se descubrió una vulnerabilidad en Outlook que permite a los piratas informáticos robar contraseñas simplemente enviando un correo electrónico al titular de la cuenta. Se lanzó un parche, pero muchas empresas aún no han actualizado su versión de Outlook.

Entonces, ¿qué es esta vulnerabilidad y cómo pueden las empresas defenderse de ella?

¿Qué es la vulnerabilidad CVE-2023-23397?

La vulnerabilidad CVE-2023-23397 es una vulnerabilidad de escalada de privilegios que afecta a Microsoft Outlook que se ejecuta en Windows.

Se cree que esta vulnerabilidad fue utilizada desde abril hasta diciembre de 2022 por actores de estados nacionales contra una amplia variedad de industrias. Se lanzó un parche en marzo de 2023.

instagram viewer

Si bien el lanzamiento de un parche significa que las organizaciones pueden defenderse fácilmente contra él, el hecho de que ahora se publicite mucho significa que el riesgo para las empresas que no parchean ha aumentado.

No es raro que las vulnerabilidades utilizadas por los estados nacionales inicialmente sean utilizadas ampliamente por piratas informáticos individuales y grupos de piratería una vez que se conoce su disponibilidad.

¿Quién es el objetivo de la vulnerabilidad de Microsoft Outlook?

La vulnerabilidad CVE-2023-23397 solo es efectiva contra Outlook que se ejecuta en Windows. Los usuarios de Android, Apple y la web no se ven afectados y no necesitan actualizar su software.

Es poco probable que los individuos privados sean el objetivo porque hacerlo no es tan rentable como apuntar a una empresa. Sin embargo, si un particular usa Outlook para Windows, aún debe actualizar su software.

Es probable que las empresas sean el objetivo principal porque muchas usan Outlook para Windows para proteger sus datos importantes. La facilidad con la que se puede llevar a cabo el ataque y la cantidad de empresas que usan el software significan que es probable que la vulnerabilidad sea popular entre los piratas informáticos.

¿Cómo funciona la vulnerabilidad?

Este ataque utiliza un correo electrónico con propiedades específicas que hace que Microsoft Outlook revele el hash NTLM de la víctima. NTLM significa New Technology LAN Master y este hash se puede usar para la autenticación en la cuenta de la víctima.

El correo electrónico adquiere el hash mediante el uso de un MAPI extendido (programación de aplicaciones de mensajería de Microsoft Outlook). Interface) que contiene la ruta de un bloque de mensajes del servidor que está controlado por el agresor.

Cuando Outlook recibe este correo electrónico, intenta autenticarse en el recurso compartido SMB mediante su hash NTLM. El pirata informático que controla el recurso compartido SMB puede acceder al hash.

¿Por qué la vulnerabilidad de Outlook es tan efectiva?

CVE-2023-23397 es una vulnerabilidad efectiva por varias razones:

  • Outlook es utilizado por una amplia variedad de empresas. Esto lo hace atractivo para los piratas informáticos.
  • La vulnerabilidad CVE-2023-23397 es fácil de usar y no requiere muchos conocimientos técnicos para implementarla.
  • La vulnerabilidad CVE-2023-23397 es difícil de defender. La mayoría de los ataques basados ​​en correo electrónico requieren que el destinatario interactúe con el correo electrónico. Esta vulnerabilidad es efectiva sin ninguna interacción. Por eso, educar a los empleados sobre correos electrónicos de phishing o decirles que no descarguen archivos adjuntos de correo electrónico (es decir, los métodos tradicionales para evitar correos electrónicos maliciosos) no tiene ningún efecto.
  • Este ataque no utiliza ningún tipo de malware. Debido a esto, no será detectado por el software de seguridad.

¿Qué sucede con las víctimas de esta vulnerabilidad?

La vulnerabilidad CVE-2023-23397 permite que un atacante obtenga acceso a la cuenta de la víctima. Por lo tanto, el resultado depende de a qué tenga acceso la víctima. El atacante puede robar datos o lanzar un ataque de ransomware.

Si la víctima tiene acceso a datos privados, el atacante puede robarlos. En el caso de la información del cliente, se puede vender en la dark web. Esto no solo es problemático para los clientes, sino también para la reputación de la empresa.

El atacante también puede cifrar información privada o importante mediante ransomware. Después de un ataque exitoso de ransomware, todos los datos son inaccesibles a menos que la empresa le pague al atacante un pago de rescate (e incluso entonces, los ciberdelincuentes pueden decidir no descifrar los datos).

Cómo comprobar si está afectado por la vulnerabilidad CVE-2023-23397

Si cree que su empresa ya se ha visto afectada por esta vulnerabilidad, puede verificar su sistema automáticamente utilizando un script de PowerShell de Microsoft. Este script busca en sus archivos y busca parámetros que se utilizan en este ataque. Después de encontrarlos, puede eliminarlos de su sistema. Se puede acceder al script a través de Microsoft.

Cómo protegerse contra esta vulnerabilidad

La forma óptima de protegerse contra esta vulnerabilidad es actualizar todo el software de Outlook. Microsoft lanzó un parche el 14 de marzo de 2023 y, una vez instalado, cualquier intento de este ataque será ineficaz.

Si bien la aplicación de parches al software debe ser una prioridad para todas las empresas, si por alguna razón esto no se puede lograr, existen otras formas de evitar que este ataque tenga éxito. Incluyen:

  • Bloquear TCP 445 de salida. Este ataque usa el puerto 445 y si no es posible la comunicación a través de ese puerto, el ataque no tendrá éxito. Si necesita el puerto 445 para otros fines, debe monitorear todo el tráfico a través de ese puerto y bloquear cualquier cosa que se dirija a una dirección IP externa.
  • Agregue todos los usuarios al grupo de seguridad de usuarios protegidos. Ningún usuario de este grupo puede utilizar NTLM como método de autenticación. Es importante tener en cuenta que esto también puede interferir con cualquier aplicación que dependa de NTLM.
  • Solicite que todos los usuarios deshabiliten la configuración Mostrar recordatorios en Outlook. Esto puede evitar que el atacante acceda a las credenciales NTLM.
  • Solicite que todos los usuarios deshabiliten el servicio WebClient. Es importante tener en cuenta que esto evitará todas las conexiones de WebDev, incluso a través de la intranet y, por lo tanto, no es necesariamente una opción adecuada.

Necesita un parche contra la vulnerabilidad CVE-2023-23397

La vulnerabilidad CVE-2023-23397 es importante debido a la popularidad de Outlook y la cantidad de acceso que proporciona a un atacante. Un ataque exitoso permite que el atacante cibernético obtenga acceso a la cuenta de la víctima, que puede usarse para robar o cifrar datos.

La única forma de protegerse adecuadamente contra este ataque es actualizar el software de Outlook con el parche necesario que Microsoft ha puesto a disposición. Cualquier empresa que no lo haga es un objetivo atractivo para los piratas informáticos.