El martes de parches de marzo Microsoft ha publicado correcciones para 76 vulnerabilidades, incluidas 9 correcciones críticas y dos explotadas activamente en la naturaleza (CVE-2023-23397, CVE-2023-24880) por diferentes actores de amenazas.
Acerca de CVE-2023-23397
CVE-2023-23397 (9.8) es una vulnerabilidad de Escalamiento de Privilegios (EoP) crítica en Microsoft Outlook que se activa cuando un atacante envía un mensaje con una propiedad MAPI extendida con una ruta UNC (tipo \10.1.1.1) a un recurso compartido SMB (TCP 445) en un servidor controlado por un actor de amenazas.
«La conexión al servidor SMB remoto envía el mensaje de negociación NTLM del usuario, que el atacante puede transmitir para la autenticación contra otros sistemas que admitan la autenticación NTLM», explica Microsoft.
En esta elevación de privilegios en Outlook, el atacante podría hacerse con el hash NTLMv2, lo que le permitiría autenticarse en red contra otros sistemas. No se requiere interacción del usuario.
Al momento de recibir un correo en Outlook, este busca la ruta UNC y pasa el hash de autenticación NTLMv2. Según Sergio de los Santos (aka @ssantosv), se abusa de una función llamada PidLidReminderFileParameter que permite que se establezca el sonido de una alerta.
Con esta función, se puede usar otra llamada PidLidReminderOverride, que como el propio nombre indica, permite que el atacante establezca el sonido y lo sobreponga al establecido. Y ahí, se puede escribir la ruta UNC.
Aunque Microsoft no ha dado detalles técnicos, sí que ha liberado un script en PowerShell para administradores de Exchange que permite buscar ese parámetro y saber si apunta a un UNC.
Satnam Narang, ingeniero senior de investigación del personal de Tenable, señala que las vulnerabilidades de Outlook a menudo son desencadenables por la funcionalidad del Panel de vista previa, pero esta no. «Esto se debe a que la vulnerabilidad se activa en el lado del servidor de correo electrónico, lo que significa que la explotación ocurriría antes de que la víctima vea el correo electrónico malicioso».
La falla afecta a todas las versiones compatibles de Microsoft Outlook para Windows, pero no a Outlook para Mac, iOS o Android, ni a Outlook en la web. «Los servicios en línea como Microsoft 365 no admiten la autenticación NTLM y no son vulnerables a ser atacados por estos mensajes», señaló Microsoft.
La vulnerabilidad fue señalada por el CERT ucraniano y los equipos de Incident and Treat Intelligence de Microsoft. La empresa evalúa que un actor de amenazas con sede en Rusia usó el exploit parcheado en CVE-2023-23397 en ataques dirigidos contra un número limitado de organizaciones en los sectores gubernamental, de transporte, energético y militar en Europa, y compartió un script que las organizaciones pueden usar para verificar si han estado entre los objetivos.
El investigador de MDSec, Dominic Chell, tiene un excelente artículo sobre cómo se puede explotar fácilmente CVE-2023-23397.
Acerca de CVE-2023-24880
CVE-2023-24880 (5.1) es una vulnerabilidad que permite a los atacantes eludir la función Windows SmartScreen. «Cuando descarga un archivo de Internet, Windows agrega el identificador de zona o Mark of the Web (MoTW) como una stream NTFS al archivo. Entonces, cuando ejecuta el archivo, Windows SmartScreen verifica si hay un identificador de zona Alternate Data Stream (ADS) adjunto al archivo. Si el ADS indica ZoneId=3, lo que significa que el archivo se descargó de Internet, SmartScreen realiza una verificación de reputación».
En resumen se logra saltear para que el archivo malicioso no pase por el análisis de seguridad. Esta vulnerabilidad se puede explotar creando un archivo malicioso que evade las defensas MoTW, lo que significa que no se activarán medidas de protección como Windows SmartScreen y Microsoft Office Protected View.
Los investigadores Benoît Sevens y Vlad Stolyarov del Threat Analysis Group (TAG) de Google informaron a Microsoft sobre la explotación in-the-wild de la vulnerabilidad, que detectaron que estaba siendo explotada para entregar el ransomware Magniber.
«Los atacantes están entregando archivos MSI firmados con una firma Authenticode no válida pero especialmente diseñada. La firma hace que SmartScreen devuelva un error para que se omita el cuadro de diálogo de advertencia de seguridad que debería mostrarse cuando un archivo que no es de confianza contiene una Marca de la Web (MotW)», explicó el equipo.
TAG ha observado más de 100.000 descargas de archivos MSI maliciosos desde enero de 2023, con más del 80% a usuarios en Europa, una diferencia notable con respecto a la orientación típica de Magniber, que generalmente se enfoca en Corea del Sur y Taiwán.
También señalaron que, en septiembre y noviembre de 2022, los actores de amenazas utilizaron una vulnerabilidad de omisión de SmartScreen similar (CVE-2022-44698) para entregar el ransomware Magniber y el ladrón de información Qakbot, antes de que se reparara la falla en diciembre de 2022.
El problema, dicen, es que el parche era demasiado «estrecho», por lo que los atacantes iteraron y descubrieron nuevas variantes. Al reparar un problema de seguridad, existe una tensión entre una solución localizada y confiable y una solución potencialmente más difícil del problema de causa raíz subyacente.
Debido a que no se abordó la causa raíz detrás de la omisión de seguridad de SmartScreen, los atacantes pudieron identificar rápidamente una variante diferente del error original. Project Zero ha escrito y presentado extensamente sobre esta tendencia, y recomienda varias prácticas para garantizar que los errores se solucionen de manera correcta y completa.
Otras vulnerabilidades
Dustin Childs, de la iniciativa Zero Day de Trend Micro, también destacó una falla de RCE de pila de protocolo HTTP/3 que se puede usar como gusano (CVE-2023-23392) que se puede explotar en una configuración común de Windows 11 y Windows Server 2022, y RCE potencialmente que se puede usar como gusano en el Protocolo de mensajes de control de Internet (CVE-2023-23415).
Agregue a esa lista CVE-2023-23416, un RCE en Windows Cryptographic Services. «Para una explotación exitosa, se debe importar un certificado malicioso en un sistema afectado. Un atacante podría cargar un certificado en un servicio que procesa o importa certificados, o un atacante podría convencer a un usuario autenticado para que importe un certificado en su sistema», señaló la empresa.
@ehgroup