El BSI advierte sobre una vulnerabilidad en Outlook que aparentemente ya se está explotando activamente. El valor CVSS de la vulnerabilidad es 9.8 y por lo tanto se considera crítico. Microsoft ya está proporcionando una actualización que debe instalarse de inmediato si no sucedió automáticamente.
El 14 de marzo de 2023, Microsoft lanzó actualizaciones para numerosas vulnerabilidades como parte de sus Patch Days mensuales, incluidos varios parches para vulnerabilidades de seguridad que se clasifican como "críticas" según el Common Vulnerability Scoring System (CVSS) con valores de 9.0 y más alto.
Importante parche listo
Las publicaciones incluyen: el parche para una "vulnerabilidad de elevación de privilegios de Microsoft Outlook" (CVE-2023-23397; puntuación CVSS 9.8), donde la empresa indica que la vulnerabilidad ya está siendo explotada activamente. Según esto, los atacantes podrían usar un correo electrónico manipulado para interceptar hashes Net-NTLMv2. El ataque ya ocurre cuando el correo electrónico se procesa en el servidor de correo electrónico; no es necesaria ninguna acción por parte del destinatario. Todas las versiones de Outlook para Windows se ven afectadas. Se puede encontrar más información en la publicación del blog de Microsoft.
Más vulnerabilidades críticas con 9.8 de 10
Microsoft enumera las siguientes vulnerabilidades clasificadas con las puntuaciones CVSS más altas, pero aún no explotadas activamente de acuerdo con el estado actual del conocimiento:
- Vulnerabilidad de ejecución remota de código de pila de protocolo HTTP (CVE-2023-23392; puntaje CVSS 9.8): una vulnerabilidad principalmente en Windows Server 2022 si el protocolo HTTP/3 está habilitado.
- Vulnerabilidad de ejecución remota de código en tiempo de ejecución de llamada a procedimiento remoto (CVE-2023-21708; puntaje CVSS 9.8): Afectados son los servidores de Windows cuyo puerto 135 (RPC Endpoint Mapper) se puede alcanzar.
- Vulnerabilidad de ejecución remota de código del protocolo de mensajes de control de Internet (ICMP) (CVE-2023-23415; puntaje CVSS 9.8): si una aplicación en el sistema usa sockets sin procesar, el código podría ejecutarse de forma remota en el sistema usando paquetes IP manipulados.
Los oficiales de seguridad de TI deben verificar la instalación de los parches publicados de inmediato. La mitigación de la "vulnerabilidad de elevación de privilegios de Microsoft Outlook" (CVE-2023-23397) descrita anteriormente debe buscarse con especial prioridad debido a la explotación que ya se ha observado. Además, le recomendamos encarecidamente que también consulte las otras actualizaciones a corto plazo. Aunque aquí no se conocen ataques, el fabricante asume que existe una alta probabilidad de que ocurran.
Según Microsoft, los atacantes pueden usar los hashes Net-NTLMv2023 obtenidos al explotar CVE-23397-2 para ataques de retransmisión NTLM. Los ataques de retransmisión NTLM se pueden mitigar activando la firma estricta de SMB y LDAP, la protección extendida para la autenticación (EPA) o, idealmente, deshabilitando por completo la autenticación NTLM. Microsoft proporciona un script para investigar si ya se ha producido un ataque a sus propios sistemas.
Más en BSI.bund.de
Acerca de Microsoft Alemania Microsoft Deutschland GmbH fue fundada en 1983 como la subsidiaria alemana de Microsoft Corporation (Redmond, EE. UU.). Microsoft se compromete a empoderar a todas las personas y todas las organizaciones del planeta para lograr más. Este desafío solo se puede superar juntos, razón por la cual la diversidad y la inclusión se han anclado firmemente en la cultura corporativa desde el principio. Como fabricante líder mundial de soluciones de software productivas y servicios modernos en la era de la nube inteligente y el borde inteligente, así como desarrollador de hardware innovador, Microsoft se ve a sí mismo como un socio de sus clientes para ayudarlos a beneficiarse de la transformación digital. La seguridad y la privacidad son las principales prioridades al desarrollar soluciones. Como el mayor contribuyente del mundo, Microsoft impulsa la tecnología de código abierto a través de su plataforma de desarrollo líder, GitHub. Con LinkedIn, la red profesional más grande, Microsoft promueve la creación de redes profesionales en todo el mundo.