Han surgido detalles técnicos sobre dos fallas de seguridad ahora parcheadas en Microsoft Windows que podrían ser encadenadas por actores de amenazas para lograr la ejecución remota de código en el servicio de correo electrónico Outlook sin ninguna interacción del usuario.
«Un atacante en Internet puede encadenar las vulnerabilidades para crear un exploit de ejecución remota de código (RCE) completo y sin hacer clic contra clientes Outlook», afirma. Ben Barnea, investigador de seguridad de Akamai, quien descubrió las vulnerabilidades, dijo en un informe de dos partes compartido con The Hacker News.
Los problemas de seguridad, que Microsoft abordó en agosto y octubre de 2023 , respectivamente, se enumeran a continuación –
- CVE-2023-35384 (puntuación CVSS: 5,4): vulnerabilidad de omisión de la característica de seguridad de las plataformas HTML de Windows
- CVE-2023-36710 (puntuación CVSS: 7,8): vulnerabilidad de ejecución remota de código de Windows Media Foundation Core
Akamai describió CVE-2023-35384 como una solución para un fallo de seguridad crítico que Microsoft parchó en marzo de 2023. Seguimiento como CVE-2023-23397 (puntuación CVSS: 9,8), la falla se relaciona con un caso de escalada de privilegios que podría resultar en el robo de credenciales NTLM y habilitar un atacante para realizar un ataque de relevo.
A principios de este mes, Microsoft, Proofpoint y Palo Alto Networks Unit 42 revelaron que un actor de amenazas ruso conocido como APT29 ha estado activamente armando el error para obtener acceso no autorizado a la información de las víctimas. cuentas dentro de los servidores Exchange.
Vale la pena señalar que CVE-2023-35384 es también el segundo parche bypass después de CVE-2023-29324, que Barnea también lo descubrió y Redmond lo solucionó posteriormente como parte de las actualizaciones de seguridad de mayo de 2023.
«Encontramos otra solución para la vulnerabilidad original de Outlook: una solución que una vez más nos permitió obligar al cliente a conectarse a un servidor controlado por un atacante y descargar un archivo de sonido malicioso», afirmó. dijo Barnea.
CVE-2023-35384, al igual que CVE-2023-29324, tiene su origen en el análisis de una ruta mediante la función MapUrlToZone que podría explotarse enviando un correo electrónico que contenga un archivo malicioso o una URL a un cliente Outlook.
«Existe una vulnerabilidad de omisión de características de seguridad cuando la plataforma MSHTML no logra validar la zona de seguridad correcta de las solicitudes de URL específicas. Esto podría permitir que un atacante haga que un usuario acceda a una URL en una zona de seguridad de Internet menos restringida de lo previsto”, afirmó. Microsoft señaló en su aviso.
Al hacerlo, la vulnerabilidad no solo puede usarse para filtrar credenciales NTLM, sino que también puede encadenarse con la falla de análisis de sonido (CVE-2023-36710) para descargar un archivo de sonido personalizado que, cuando se reproduce automáticamente usando el recordatorio de Outlook. característica de sonido, puede llevar a la ejecución de código sin hacer clic en la máquina víctima.
CVE-2023-36710 afecta al componente Administrador de compresión de audio (ACM), un marco multimedia heredado de Windows que se utiliza para administrar códecs de audio y es el resultado de una vulnerabilidad de desbordamiento de enteros que ocurre al reproducir un archivo WAV.
«Finalmente, logramos activar la vulnerabilidad usando el códec IMA ADP», dijo. Barnea explicó. «El tamaño del archivo es de aproximadamente 1,8 GB. Al realizar la operación de límite matemático en el cálculo, podemos concluir que el tamaño de archivo más pequeño posible con el códec IMA ADP es 1 GB.
Para mitigar los riesgos, se recomienda que las organizaciones utilicen la microsegmentación para bloquear las conexiones salientes de SMB a direcciones IP públicas remotas. Además, también recomienda desactivar NTLM o agregar usuarios al grupo de seguridad Usuarios protegidos, lo que impide el uso de NTLM como mecanismo de autenticación.< /span>
Fuente y redacción: thehackernews.com
