Microsoft publicó recientemente una guía para ayudar a los clientes a descubrir indicadores de riesgo (IoC) asociado con el recientemente parcheado, grave vulnerabilidad de Outlook conocida como CVE-2023-23397.
¿Qué es CVE-2023-23397??
Como explica Microsoft en su aviso, CVE-2023-23397 es una vulnerabilidad crítica de elevación de privilegios que existe en Microsoft Outlook en Windows cuando un actor de amenazas entrega un mensaje especialmente diseñado a un usuario. Este mensaje contiene una interfaz de programación de aplicaciones de mensajería extendida PidLidReminderFileParameter (MAPI) propiedad establecida en una convención de nomenclatura universal (UNC) ruta compartida en un servidor controlado por un actor de amenazas (a través del bloque de mensajes del servidor (SMB)/Protocolo de Control de Transmisión (TCP) puerto 445).
Este defecto crítico, que conlleva el potencial de escalada de privilegios, podría ser explotado por atacantes externos para enviar correos electrónicos especialmente diseñados que les permitirían robar NT Lan Manager (NTLM) hashes y organizar un ataque de retransmisión sin necesidad de interacción del usuario. De acuerdo con asesoría de Microsoft, esto daría como resultado que el hash Net-NTLMv2 de la víctima se filtre a la red que no es de confianza, que el atacante puede retransmitir a otro servicio y autenticarse como víctima.
¿Cómo se explota CVE-2023-23397??
En abril 2022, El equipo de respuesta a incidentes de Microsoft descubrió evidencia de que los actores de amenazas con sede en Rusia intentaban explotar una vulnerabilidad en su sistema.. Como resultado de esto, el gigante tecnológico lanzó actualizaciones como parte de su Patch Tuesday en marzo 2023 para resolver el problema. Desafortunadamente, los actores de la amenaza ya habían convertido la falla en un arma y la habían usado para apuntar al gobierno, transporte, energía, y sectores militares en Europa. En una cadena de ataque, se utilizó un ataque de retransmisión Net-NTLMv2 exitoso para obtener acceso no autorizado a un Servidor de intercambio y modificar los permisos de la carpeta del buzón, concesión de acceso persistente.
¿Cuáles son los indicadores de compromiso de CVE-2023-23397??
Las organizaciones deben analizar los registros de eventos de SMBClient, Eventos de creación de procesos, y cualquier otra telemetría de red disponible para determinar si CVE-2023-23397 ha sido explotado. Para describir si un actor de amenazas obtuvo acceso no autorizado, eventos de autenticación, registro del perímetro de la red, y registro de Exchange Server (si es aplicable) debe ser examinado, microsoft dijo.