Microsoft compartió una guía el viernes para ayudar a los clientes a descubrir indicadores de compromiso (IoC) asociados con una vulnerabilidad de Outlook parcheada recientemente.
El error crítico, rastreado como CVE-2023-23397 (puntaje CVSS: 9.8), se relaciona con un caso de escalada de privilegios que podría explotarse para robar hashes de NT Lan Manager (NTLM) y un ataque de retransmisión sin requerir la interacción del usuario.
«Los atacantes externos podrían enviar correos electrónicos especialmente diseñados que establecen una conexión desde la víctima a un lugar de control del atacante que no es de confianza», señaló la compañía en un aviso publicado este mes.
«Esto filtra el hash Net-NTLMv2 de la víctima a la red que no es de confianza, que luego un atacante puede redirigir a otro servicio y autenticarse como la víctima».
Microsoft solucionó la vulnerabilidad como parte de sus actualizaciones del día del parche de marzo de 2023, pero no antes de que los actores de amenazas con sede en Rusia armaran la falla en los ataques contra los sectores del gobierno, el transporte, la energía y el ejército en Europa.
El Equipo de Respuesta a Incidentes de Microsoft dijo que encontró evidencia de una posible explotación de la falla ya en abril de 2022.
En una cadena de ataque descrita por el gigante tecnológico, un ataque de retransmisión Net-NTLMv2 exitoso permitió al atacante obtener acceso no autorizado a un servidor de Exchange y cambiar los permisos de la carpeta del buzón para un acceso persistente.
Luego, la cuenta de correo electrónico comprometida se usó para ampliar el acceso del atacante al entorno comprometido mediante el envío de mensajes maliciosos adicionales a otros miembros de la misma organización.
“Si bien el uso de hashes NTLMv2 para obtener acceso no autorizado a recursos no es una técnica nueva, explotar CVE-2023-23397 es novedoso y sigiloso”, dijo Microsoft.
«Las organizaciones deben revisar el registro de eventos SMBClient, los eventos de creación de procesos y otra telemetría de red disponible para identificar un posible exploit a través de CVE-2023-23397».
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su organización? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo mitigar el riesgo.
RESERVA TU LUGAR
La divulgación se produce cuando la Agencia de Seguridad Cibernética y Seguridad de la Infraestructura (CISA) de EE. UU. lanzó una nueva herramienta de respuesta a incidentes de código abierto para ayudar a detectar signos de actividad maliciosa en los entornos de nube de Microsoft.
La utilidad basada en Python, denominada Untitled Goose Tool, ofrece «métodos novedosos de autenticación y recopilación de datos» para analizar los entornos de Microsoft Azure, Azure Active Directory y Microsoft 365, según la agencia.
A principios de este año, Microsoft también instó a los clientes a mantener actualizados sus servidores Exchange locales y tomar medidas para fortalecer sus redes para protegerse de posibles amenazas.