Microsoft lanzó su boletín de seguridad mensual esta semana, cubriendo parches para más de 80 vulnerabilidades en sus productos. Sin embargo, dos de ellos ya estaban siendo utilizados por los atacantes antes de que se lanzaran los parches.
Una vulnerabilidad afecta a todas las versiones compatibles de Outlook para Windows y permite a los atacantes robar hashes Net-NTLMv2 y luego usarlos para ataques de retransmisión NTLM (New Technology LAN Manager) contra otros sistemas. El segundo permite a los atacantes eludir Microsoft SmartScreen, una tecnología integrada en Windows que escanea archivos descargados de Internet a través de navegadores.
Vulnerabilidad de robo de hash NTLM explotada por APT patrocinado por el estado ruso
Microsoft describe la vulnerabilidad de Outlook rastreada como CVE-2023-23397 como una elevación de privilegios y calificada como crítica (9.8 de 10 en la escala CVSS). A diferencia de las vulnerabilidades de ejecución remota de código, las vulnerabilidades de EoP rara vez son críticas porque normalmente no se pueden explotar de forma remota y el atacante ya debe tener algunos privilegios más bajos en el sistema.
Sin embargo, esta falla puede ser fácilmente aprovechada por atacantes remotos. Según la descripción de Microsoft, «el atacante podría aprovechar esta vulnerabilidad enviando un correo electrónico especialmente diseñado que se activa automáticamente cuando el cliente de Outlook lo recupera y lo procesa». es suficiente, ya que el error está en el código de Outlook para manejarlos a la llegada.
Más específicamente, un atacante crearía el mensaje utilizando una propiedad extendida de la interfaz de programación de aplicaciones de mensajería (MAPI) que contiene una ruta UNC a un recurso compartido SMB remoto (TCP 445) alojado en un servidor controlado por el atacante. Server Message Block (SMB) es un protocolo para compartir archivos, redes e impresoras que se usa ampliamente en las redes de Windows y también admite la comunicación entre procesos.
La autenticación utilizada con SMB es NTLM, y cada vez que una computadora con Windows intenta acceder a un recurso remoto a través de SMB, envía su hash NTLM, una representación criptográfica de sus credenciales, que sirve como token de autenticación. Robar hashes NTLM permite un tipo de ataque llamado retransmisión NTLM o pass-the-hash, en el que un atacante engaña a una computadora para que envíe su hash y luego lo pasa a otro servicio legítimo que acepta que lo haría la autenticación.
El equipo ucraniano de Microsoft descubrió la vulnerabilidad.
Microsoft le da crédito a CERT-UA, el Equipo de Respuesta a Emergencias Informáticas del gobierno de Ucrania, así como a su propio equipo de Respuesta a Incidentes de Microsoft y de Inteligencia de Amenazas de Microsoft por informar sobre esta vulnerabilidad. La compañía dijo que un actor de amenazas con sede en Rusia explotó esta vulnerabilidad en ataques dirigidos contra organizaciones gubernamentales, de transporte, energéticas y militares en Europa. Según los informes, este actor de amenazas es STRONTIUM, también conocido como Fancy Bear o APT28 en la industria de la seguridad. El gobierno de EE. UU. atribuyó oficialmente las actividades de Fancy Bear a una unidad llamada Unidad 26165 dentro de la agencia de inteligencia militar GRU de Rusia.
Además de aplicar parches a sus clientes de Outlook en sistemas Windows, las organizaciones también pueden bloquear el tráfico saliente de sus redes en el puerto TCP 445/SMB y deshabilitar el servicio WebClient en sus computadoras, lo que evitaría ataques WebDAV. Además, Microsoft recomienda agregar cuentas con muchos privilegios, como administradores de dominio u otras cuentas confidenciales, al grupo de seguridad Usuarios protegidos. Esto evita que estos usuarios utilicen NTLM como mecanismo de autenticación.
El equipo de Microsoft Exchange tiene por separado desarrolló un guión Los administradores de Exchange Server o Exchange Online pueden usar esto para determinar si alguno de sus usuarios ha recibido correos electrónicos maliciosos que intentaron aprovechar esta vulnerabilidad.
«Debido a la facilidad con la que se puede explotar esta vulnerabilidad, creemos que es solo cuestión de tiempo antes de que entre en los libros de jugadas de otros actores de amenazas, incluidos los grupos de ransomware y sus afiliados», dijo Satnam Narang, ingeniero sénior de investigación del personal de la empresa de seguridad. Tenable, dijo CSO. «Anticipamos que CVE-2023-23397 se convertirá en una de las principales vulnerabilidades de 2023». Los investigadores de la empresa de seguridad MDSec ya han creado un exploit de prueba de concepto, lo que significa que el exploit se propaga fácilmente a usuarios menos experimentados. Los grupos pueden proliferar como APT patrocinados por el gobierno.
La vulnerabilidad de omisión de SmartScreen también ha sido parcheada
La segunda vulnerabilidad de día cero parcheada el día del parche, rastreada como CVE-2023-24880, fue informada a Microsoft en febrero por miembros del Grupo de análisis de amenazas de Google, quienes determinaron que estaba siendo explotada por el grupo detrás de un programa de ransomware llamado Magniber.
La vulnerabilidad permite a los atacantes crear archivos que eluden el cuadro de diálogo de advertencia de seguridad que muestra Windows cuando los usuarios intentan abrir un archivo descargado de Internet que no es de confianza. Windows marca automáticamente dichos archivos con Mark-of-the-Web (MotW), que es un flujo de datos alternativo (ADS) dentro del flujo NTFS de un archivo cuando se almacena localmente. NTFS es el sistema de archivos estándar utilizado por Windows. Este ADS se llama ZoneId y si tiene un valor de 3, el archivo fue descargado de Internet y revisado por SmartScreen.
SmartScreen es una tecnología anti-phishing y antimalware habilitada para la nube que se inició en Internet Explorer y Edge, pero se incorporó en Windows de forma predeterminada a partir de Windows 8. Está especialmente diseñado para medir la reputación de archivos con marca de la web.
Según Google TAG, los atacantes de Magniber explotaron la vulnerabilidad mediante el uso de archivos MSI (Microsoft Installer) firmados con una firma de Authenticode no válida pero especialmente diseñada. Las firmas incorrectas obligan a SmartScreen a devolver un error y omitir la advertencia de seguridad. «TAG ha observado más de 100.000 descargas de archivos MSI maliciosos desde enero de 2023, con más del 80% de ellos de usuarios en Europa, una desviación notable de la orientación típica de Magniber, que normalmente se enfoca en Corea del Sur y Taiwán», dijo Google a TAG.
La omisión de SmartScreen probablemente sea utilizada por malos actores
Es probable que otros grupos adopten esta omisión de SmartScreen en sus campañas de distribución de malware, como lo han hecho antes. En septiembre, el ransomware Magniber se entregó utilizando archivos JScript con la firma Authenticode adjunta. Por lo general, estas firmas no son para archivos JScript sino para archivos ejecutables, pero los investigadores se dieron cuenta de que estaban adjuntas a los archivos JScript para dañar SmartScreen y eludir sus controles de seguridad.
Más tarde, otros actores de amenazas comenzaron a usar la misma técnica y evasión para distribuir el malware Qakbot, lo que sugiere que tanto los atacantes Magniber como Qakbot compraron la evasión de la misma fuente. Microsoft finalmente parcheó esta vulnerabilidad como CVE-2022-44698 en diciembre de 2022, pero parece que el parche para CVE-2022-44698 no cubrió todas las variantes de explotación.
«Esta omisión de seguridad es un ejemplo de una tendencia más amplia destacada anteriormente por Project Zero: los proveedores a menudo lanzan pequeños parches que permiten a los atacantes iterar y descubrir nuevas variantes», dijeron los miembros de Google TAG. “Al reparar un problema de seguridad, existe una tensión entre una solución localizada y confiable y una solución potencialmente más difícil para el problema subyacente. Al no abordar la causa raíz detrás de la omisión de seguridad de SmartScreen, los atacantes pudieron identificar rápidamente otra variante de la falla original”.
Derechos de autor © 2023 IDG Communications, Inc.