Outlook: la entrada del calendario puede robar la contraseña

25. Enero 2024
| No hay comentarios
Outlook: la entrada del calendario puede robar la contraseña -AI

Compartir publicación

Hay una nueva vulnerabilidad en Outlook y tres formas de acceder a contraseñas hash NTLM v2. El acceso se puede realizar a través de la función de calendario y encabezados dobles mediante la entrada del calendario. Los expertos han descubierto la vulnerabilidad y advierten al respecto.

Varonis Threat Labs descubrió la nueva vulnerabilidad de Outlook (CVE-2023-35636) y tres nuevas formas de explotarla. Esto le permite acceder a las contraseñas hash NTLM v2 desde Outlook, Windows Performance Analyzer (WPA) y Windows File Explorer. Con acceso a estas contraseñas, los atacantes pueden intentar un ataque de fuerza bruta fuera de línea o un ataque de retransmisión de autenticación para comprometer una cuenta y obtener acceso.

Sistemas sin parches en riesgo

Microsoft reveló estas vulnerabilidades y exploits existentes en julio de 2023. Desde entonces, Microsoft ha clasificado las vulnerabilidades de WPA y del Explorador de archivos de Windows como “gravedad media” y el exploit de Outlook 6.5 como “importante” (CVE-2023-35636). Posteriormente, Microsoft lanzó un parche para este CVE el 12 de diciembre de 2023. Los sistemas sin parches siguen siendo vulnerables a los actores de amenazas que intentan robar contraseñas hash utilizando los métodos anteriores.

¿Qué hay detrás de CVE-2023-35636?

CVE-2023-35636 es un exploit que indica a la función para compartir calendario en Microsoft Outlook que agregue dos encabezados a un correo electrónico de Outlook. Con ello se pretende compartir contenido para contactar con un ordenador específico, lo que ofrece la posibilidad de interceptar un hash NTLM v2. NTLM v2 es un protocolo criptográfico utilizado por Microsoft Windows para autenticar usuarios en servidores remotos. Si bien NTLM v2 es una versión más segura del NTLM original, v2 sigue siendo vulnerable a ataques de retransmisión de autenticación y fuerza bruta fuera de línea.

Filtración de hashes NTLM v2 con Outlook

Outlook es la herramienta de calendario y correo electrónico predeterminada para la suite Microsoft 365 y millones de personas en todo el mundo la utilizan para fines comerciales y personales. Una de las características de Outlook es la posibilidad de compartir calendarios entre usuarios. Sin embargo, esta característica se puede explotar, como descubrió Varonis Threat Labs, insertando algunos encabezados en un correo electrónico para activar un intento de autenticación y redirigir la contraseña hash.

Escenario de ataque

Este exploit utiliza el mismo escenario de ataque que el otro exploit del Explorador de archivos de Windows.

  • Un atacante crea un vínculo malicioso utilizando el exploit descrito anteriormente.
  • Para enviar a la víctima el enlace malicioso, un ataque puede utilizar phishing por correo electrónico, un anuncio en un sitio web falso o incluso enviar el enlace directamente a través de las redes sociales.
  • Una vez que la víctima hace clic en el enlace, el atacante puede obtener el hash y luego intentar descifrar la contraseña del usuario sin conexión.
  • Una vez que se descifra el hash y se obtiene la contraseña, un atacante puede usarlo para iniciar sesión en la organización como usuario.

Más protección contra ataques NTLM v2

Hay varias formas de protegerse contra ataques NTLM v2:

  • Firma SMB: la firma SMB es una característica de seguridad que ayuda a proteger el tráfico de las SMB contra manipulaciones y ataques de intermediarios. Funciona firmando digitalmente todos los mensajes SMB. Esto significa que si un atacante intenta modificar un mensaje SMB, el destinatario puede detectar el cambio y rechazar el mensaje. La firma SMB está habilitada de forma predeterminada en Windows Server 2022 y versiones posteriores, y está disponible en Windows 11 Enterprise Edition (a partir de Insider Edition). ).Vista previa de la compilación 25381).
  • Bloquee NTLM v2 saliente a partir de Windows 11 (25951). Microsoft tiene eso Opción agregada para bloquear la autenticación NTLM saliente.
  • Si es posible, aplique la autenticación Kerberos y bloquee NTLM v2 tanto en el nivel de red como de aplicación.
Más en Varonis.com

 

Sobre Varonis

Desde su fundación en 2005, Varonis ha adoptado un enfoque diferente para la mayoría de los proveedores de seguridad de TI al colocar los datos corporativos almacenados tanto en las instalaciones como en la nube en el centro de su estrategia de seguridad: archivos y correos electrónicos confidenciales, información confidencial de clientes, pacientes y pacientes. Registros de empleados, registros financieros, planes estratégicos y de productos, y otra propiedad intelectual. La plataforma de seguridad de datos (DSP) de Varonis detecta amenazas internas y ataques cibernéticos mediante el análisis de datos, la actividad de la cuenta, la telemetría y el comportamiento del usuario, previene o mitiga las infracciones de seguridad de los datos mediante el bloqueo de datos confidenciales, regulados y obsoletos, y mantiene un estado seguro de los sistemas. a través de una automatización eficiente.,

 

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Conjunto de productos DSPM para seguridad de datos Zero Trust

La gestión de la postura de seguridad de los datos (DSPM para abreviar) es crucial para que las empresas garanticen la resiliencia cibernética frente a la multitud. ➡ Leer más

Cifrado de datos: más seguridad en plataformas en la nube

Las plataformas en línea suelen ser blanco de ataques cibernéticos, como ocurrió recientemente con Trello. 5 consejos garantizan un cifrado de datos más eficaz en la nube ➡ Leer más

Noticias de prensa
, , , , ,