En marzo, Microsoft reparó un interesante agujero de seguridad en Outlook que fue aprovechado por actores malintencionados para filtrar las credenciales de Windows de las víctimas. El gigante de TI implementó esa solución esta semana como parte de su actualización mensual del martes de parches.
Para recordarle el error inicial, que se registra como CVE-2023-23397Era posible enviar un correo electrónico a alguien que incluía un recordatorio con un sonido de notificación personalizado. Ese sonido especial se puede especificar como una ruta URL en un correo electrónico.
Si un atacante creara cuidadosamente un correo con esa ruta de voz a un servidor SMB remoto, cuando Outlook recuperara y procesara el mensaje y siguiera automáticamente la ruta al servidor de archivos, entregaría el hash Net-NTLMv2 del usuario al intentar iniciar sesión. Esto enviaría efectivamente el hash a una parte externa, que podría usar las credenciales para acceder a otros recursos como ese usuario, lo que permitiría a un atacante explorar los sistemas de red internos, robar documentos, hacerse pasar por su víctima y más.
Un parche de hace unos meses obligó a Outlook a usar la característica de Windows MapUrlToZone: para verificar a dónde apunta realmente la pista de sonido de la notificación y si está fuera de Internet, se ignorará y se reproducirá el sonido predeterminado. Eso debería evitar que el cliente se conecte al servidor remoto y pierda hashes.
Resultó que esta protección basada en MapUrlToZone podría omitirse, lo que llevó a Microsoft a respaldar su solución de marzo. El error original estaba siendo explotado en la naturaleza, por lo que cuando apareció un parche, llamó la atención de todos. Y esa atención ayudó a revelar que la solución era defectuosa.
Y si se deja sin terminar, alguien que explote el error original podría usar la otra vulnerabilidad para eludir el parche original. Entonces, para ser claros, no fue la solución para CVE-2023-23397 lo que funcionó, lo hizo, simplemente no fue suficiente para cerrar completamente el agujero del archivo de audio personalizado.
«Esta vulnerabilidad es otro ejemplo del escrutinio de parches que conduce a nuevas vulnerabilidades y soluciones alternativas». dicho Ben Barnea de Akamai, quien detectó e informó el desvío de MapUrlToZone.
«Agregar un carácter específicamente para esta vulnerabilidad permite omitir un parche crítico».
Crucialmente, mientras que el primer error estaba en Outlook, este segundo problema de MapUrlToZone radica en la implementación de Microsoft de la función en la API de Windows. Eso significa que el segundo parche no es para Outlook, sino para la plataforma MSHTML subyacente de Windows, y todas las versiones del sistema operativo se ven afectadas por el error, escribió Barnea. El problema es que se puede pasar una ruta malintencionada a MapUrlToZone para que la función determine que la ruta no es a Internet externa cuando en realidad lo es cuando la aplicación llega a abrir la ruta.
Según Barnea, los correos electrónicos pueden contener un recordatorio que incluye un sonido de notificación personalizado especificado como una ruta usando la propiedad MAPI extendida usando PidLidReminderFileParameter.
«Un atacante podría especificar una ruta UNC que obligaría al cliente a recuperar el archivo de audio de cualquier servidor SMB», explicó. «Como parte de una conexión a un servidor SMB remoto, se envía un hash Net-NTLMv2 en el mensaje de negociación».
La falla fue lo suficientemente mala como para obtener un puntaje de gravedad CVSS de 9.8 sobre 10 y fue explotada por personal vinculado a Rusia durante aproximadamente un año antes de que se publicara una solución en marzo. Las pandillas cibernéticas lo han utilizado en ataques contra organizaciones gubernamentales europeas, así como sitios de transporte, energía y militares.
Para encontrar una solución para la plataforma original de Microsoft, Barnea quería crear una ruta que MapUrlToZone etiquetara como una zona local, de intranet o de confianza, lo que significa que Outlook podría seguirla de manera segura, pero cuando se llamara a la función CreateFile, sería el sistema operativo. vaya a conectarse al servidor remoto.
Finalmente, descubrió que los atacantes podían cambiar la URL en los mensajes de recordatorio, lo que engañó a las comprobaciones de MapUrlToZone para que vieran las rutas remotas como locales. Y esto se puede hacer con un clic agregando un segundo «\» a la ruta de la Convención de nomenclatura universal (UNC).
«Un atacante no autenticado en Internet podría usar la vulnerabilidad para obligar a un cliente de Outlook a conectarse a un servidor controlado por el atacante», escribió Barnea. “Esto conduce al robo de credenciales de NTLM. Es una vulnerabilidad de cero clics, lo que significa que puede activarse sin la interacción del usuario».
Agregó que el problema parece ser «el resultado del manejo complicado de rutas en Windows… Creemos que este tipo de confusión podría introducir vulnerabilidades en otros programas que usan MapUrlToZone en una ruta controlada por el usuario y luego usan una operación de archivo (por ejemplo, CreateFile o una API similar) en la misma ruta».
el inconveniente CVE-2023-29324, tiene una puntuación de gravedad CVSS de 6,5. Microsoft asesora a las organizaciones arreglar tanto esa vulnerabilidad lanzada esta semana como parte del martes de parches como el CVE-2023-23397 anterior.
Barnea escribió que espera que Microsoft elimine la función de sonido de recordatorio personalizado, diciendo que presenta más riesgos de seguridad que cualquier valor potencial para los usuarios.
«Es una superficie de ataque de análisis de medios de compresión cero que puede contener una vulnerabilidad crítica de corrupción de memoria», escribió. «Dado lo popular que es Windows, eliminar una superficie de ataque tan madura podría tener algunos efectos muy positivos». ®
Beer ninja. Internet maven. Music buff. Wannabe web evangelist. Analista. Introvertido