Hay una nueva vulnerabilidad en Outlook y tres formas de acceder a contraseñas hash NTLM v2. El acceso se puede realizar a través de la función de calendario y encabezados dobles mediante la entrada del calendario. Los expertos han descubierto la vulnerabilidad y advierten al respecto.
Varonis Threat Labs descubrió la nueva vulnerabilidad de Outlook (CVE-2023-35636) y tres nuevas formas de explotarla. Esto le permite acceder a las contraseñas hash NTLM v2 desde Outlook, Windows Performance Analyzer (WPA) y Windows File Explorer. Con acceso a estas contraseñas, los atacantes pueden intentar un ataque de fuerza bruta fuera de línea o un ataque de retransmisión de autenticación para comprometer una cuenta y obtener acceso.
Sistemas sin parches en riesgo
Microsoft reveló estas vulnerabilidades y exploits existentes en julio de 2023. Desde entonces, Microsoft ha clasificado las vulnerabilidades de WPA y del Explorador de archivos de Windows como “gravedad media” y el exploit de Outlook 6.5 como “importante” (CVE-2023-35636). Posteriormente, Microsoft lanzó un parche para este CVE el 12 de diciembre de 2023. Los sistemas sin parches siguen siendo vulnerables a los actores de amenazas que intentan robar contraseñas hash utilizando los métodos anteriores.
¿Qué hay detrás de CVE-2023-35636?
CVE-2023-35636 es un exploit que indica a la función para compartir calendario en Microsoft Outlook que agregue dos encabezados a un correo electrónico de Outlook. Con ello se pretende compartir contenido para contactar con un ordenador específico, lo que ofrece la posibilidad de interceptar un hash NTLM v2. NTLM v2 es un protocolo criptográfico utilizado por Microsoft Windows para autenticar usuarios en servidores remotos. Si bien NTLM v2 es una versión más segura del NTLM original, v2 sigue siendo vulnerable a ataques de retransmisión de autenticación y fuerza bruta fuera de línea.
Filtración de hashes NTLM v2 con Outlook
Outlook es la herramienta de calendario y correo electrónico predeterminada para la suite Microsoft 365 y millones de personas en todo el mundo la utilizan para fines comerciales y personales. Una de las características de Outlook es la posibilidad de compartir calendarios entre usuarios. Sin embargo, esta característica se puede explotar, como descubrió Varonis Threat Labs, insertando algunos encabezados en un correo electrónico para activar un intento de autenticación y redirigir la contraseña hash.
Escenario de ataque
Este exploit utiliza el mismo escenario de ataque que el otro exploit del Explorador de archivos de Windows.
- Un atacante crea un vínculo malicioso utilizando el exploit descrito anteriormente.
- Para enviar a la víctima el enlace malicioso, un ataque puede utilizar phishing por correo electrónico, un anuncio en un sitio web falso o incluso enviar el enlace directamente a través de las redes sociales.
- Una vez que la víctima hace clic en el enlace, el atacante puede obtener el hash y luego intentar descifrar la contraseña del usuario sin conexión.
- Una vez que se descifra el hash y se obtiene la contraseña, un atacante puede usarlo para iniciar sesión en la organización como usuario.
Más protección contra ataques NTLM v2
Hay varias formas de protegerse contra ataques NTLM v2:
- Firma SMB: la firma SMB es una característica de seguridad que ayuda a proteger el tráfico de las SMB contra manipulaciones y ataques de intermediarios. Funciona firmando digitalmente todos los mensajes SMB. Esto significa que si un atacante intenta modificar un mensaje SMB, el destinatario puede detectar el cambio y rechazar el mensaje. La firma SMB está habilitada de forma predeterminada en Windows Server 2022 y versiones posteriores, y está disponible en Windows 11 Enterprise Edition (a partir de Insider Edition). ).Vista previa de la compilación 25381).
- Bloquee NTLM v2 saliente a partir de Windows 11 (25951). Microsoft tiene eso Opción agregada para bloquear la autenticación NTLM saliente.
- Si es posible, aplique la autenticación Kerberos y bloquee NTLM v2 tanto en el nivel de red como de aplicación.
Sobre Varonis Desde su fundación en 2005, Varonis ha adoptado un enfoque diferente para la mayoría de los proveedores de seguridad de TI al colocar los datos corporativos almacenados tanto en las instalaciones como en la nube en el centro de su estrategia de seguridad: archivos y correos electrónicos confidenciales, información confidencial de clientes, pacientes y pacientes. Registros de empleados, registros financieros, planes estratégicos y de productos, y otra propiedad intelectual. La plataforma de seguridad de datos (DSP) de Varonis detecta amenazas internas y ataques cibernéticos mediante el análisis de datos, la actividad de la cuenta, la telemetría y el comportamiento del usuario, previene o mitiga las infracciones de seguridad de los datos mediante el bloqueo de datos confidenciales, regulados y obsoletos, y mantiene un estado seguro de los sistemas. a través de una automatización eficiente.,