Microsoft ha lanzado el martes pasado una importante actualización de seguridad que corrige 80 fallas de seguridad en sus sistemas operativos, de las cuales dos de ellas son críticas, y que están siendo explotadas por ciberdelincuentes:
- CVE-2023-23397: Vulnerabilidad zero-day que permite escalar privilegios en Microsoft Outlook.
- CVE-2023-24880: Permite bypass de la función de seguridad de Windows SmartScreen.
La primera vulnerabilidad zero-day (CVE-2023-23397) estaba siendo explotada en organizaciones europeas como objetivos principales por un grupo relacionado con inteligencia militar rusa.
La vulnerabilidad es una falla de seguridad crítica en Outlook que permite la elevación de privilegios y se puede explotar sin la interacción del usuario. La misma fue informada por CERT-UA, el equipo de respuesta a emergencias informáticas de Ucrania.
Las pruebas muestran que los gobiernos y distintas industrias como transporte, petroleras, logísticas y defensa de países como Polonia, Ucrania, Rumania y Turquía han sido víctimas desde Abril de 2022.
“El atacante podría explotar esta vulnerabilidad enviando un correo electrónico especialmente diseñado que se activa automáticamente cuando el cliente de Outlook lo recupera y lo procesa. Esto podría conducir a la explotación ANTES de que el correo electrónico se vea en el Panel de vista previa”. Extracto de un comunicado de seguridad de Microsoft.
Cuando el mensaje dice “especialmente diseñado” se refiere a mensajes con propiedades MAPI extendidas conteniendo rutas UNC a un SMB compartido. Esta conexión envía un mensaje NTLM del usuario y luego el atacante podrá transmitirlo a otro servicio para lograr autenticarse como la víctima.
La vulnerabilidad CVE-2023-23397 NO afecta a versiones de Outlook para Android, iOS o macOS pero SI afecta a todas las versiones compatibles para Windows.
La segunda vulnerabilidad, CVE-2023-24880; permite evadir la función de seguridad de la tecnología SmartScreen. Esta tecnología se incluyó en Microsoft Edge y en Windows para proteger a los usuarios de las descargas de malware debido a ingeniería social.
El TAG (Grupo de análisis de amenazas de Google), comunicó que se observaron más de 10.000 descargas de archivos MSI maliciosos firmados con una firma Authenticode malformada desde Enero de 2023, pudiendo permitir a los atacantes distribuir el ransomware “Magniber” sin elevar ninguna advertencia de seguridad. La mayoría de las descargas están asociadas a usuarios europeos.
Microsoft también corrigió una serie de vulnerabilidades críticas de ejecución de código en remoto entre otras.
Recomendaciones
Como siempre lo hacemos, recomendamos aplicar la actualización de seguridad de manera inmediata.
Restringir el tráfico SMB saliente y el uso de la autenticación NTLM.
Si lo desea, puede comprobar si su organización fue atacada, todo el detalle se puede encontrar en: https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
Más información