Un laboratorio de seguridad ha descubierto una vulnerabilidad grave en Microsoft Outlook dirigida a empresas gubernamentales, militares, energéticas y de transporte europeas. esta siendo usado. La vulnerabilidad tiene la designación CVE-2023-23397 y está clasificada según el Common Vulnerability Scoring System (CVSS) con un valor de 9.8. El BSI también dice: El ataque ocurre antes de que se abra el correo electrónico o antes de que se muestre en la ventana de vista previa, ¡no es necesaria ninguna acción por parte del destinatario!
La vulnerabilidad permite que un atacante no autorizado comprometa los sistemas con un correo electrónico especialmente diseñado. Este correo electrónico malicioso le da acceso no autorizado a las credenciales del destinatario.
Los ataques aumentarán
"Ahora que ya se han publicado las primeras pruebas de concepto, se puede suponer que aumentarán los ataques a la vulnerabilidad CVE-2023-23397", explica Umut Alemdar, responsable del laboratorio de seguridad de Hornetsecurity. "Por lo tanto, recomendamos que todos los usuarios de Microsoft Outlook instalen los parches de seguridad proporcionados por Microsoft lo antes posible".
Gracias a Advanced Thread Protection (ATP), el moderno sistema de seguridad de Hornetsecurity puede poner en cuarentena los correos electrónicos que quieren aprovechar esta vulnerabilidad. "Esto evita que los correos electrónicos lleguen a la bandeja de entrada de la víctima", continúa Alemdar. “Gracias a ATP, nuestros clientes ya están protegidos de este peligro. Además, el Security Lab de Hornetsecurity se ha fijado la tarea de monitorear el panorama de amenazas con ojos de águila para continuar garantizando a nuestros clientes la mejor protección posible contra las últimas amenazas cibernéticas”.
Ataque antes de la vista previa
La vulnerabilidad de Outlook ya la inicia el cliente de Outlook al recuperar y procesar un correo electrónico malicioso. Por lo tanto, un ataque puede ocurrir incluso antes de que el correo electrónico se muestre en la ventana de vista previa. El atacante dirige a su víctima a un entorno que él controla. Esto da como resultado que se filtre el hash Net-NTLMv2 de la víctima, un protocolo de desafío-respuesta utilizado para la autenticación en entornos Windows. El atacante puede pasar esta información a otro servicio, autentificándose así como la víctima y comprometiendo aún más el sistema.
El ataque resulta menos complejo y, según Microsoft, ya se ha observado en la práctica. La vulnerabilidad se utilizó para atacar empresas gubernamentales, militares, energéticas y de transporte europeas. Microsoft fue notificado por primera vez de CVE-2023-233397 por CERT-UA (Equipo de respuesta a emergencias informáticas para Ucrania). Una prueba de concepto creada por el equipo del laboratorio de seguridad de Hornetsecurity muestra que el ataque es particularmente difícil de detectar: todos los servicios antimalware y sandbox incluidos en VirusTotal no lograron clasificarlo como peligroso.
Más en Hornetsecurity.com
Acerca de la seguridad de Hornet Hornetsecurity es el proveedor alemán de seguridad en la nube líder en Europa para correo electrónico y protege la infraestructura de TI, la comunicación digital y los datos de empresas y organizaciones de todos los tamaños. El especialista en seguridad de Hannover ofrece sus servicios a través de 10 centros de datos protegidos de forma redundante en todo el mundo. La cartera de productos incluye todas las áreas importantes de la seguridad del correo electrónico, desde filtros de correo no deseado y virus hasta archivado y encriptación que cumplen con las normas legales, hasta defensa contra el fraude y el ransomware de los directores ejecutivos. Hornetsecurity está representada a nivel mundial con alrededor de 200 empleados en 12 ubicaciones y opera con su red internacional de distribuidores en más de 30 países.