Tecnología

Outlook de día cero sigue siendo vulnerable a los atacantes con acceso previo, según los investigadores

Este audio se genera automáticamente. Háganos saber si tiene comentarios.

Un parche lanzado la semana pasada para corregir una vulnerabilidad crítica de día cero en Microsoft Outlook no protege completamente las redes informáticas de los ataques, dijeron investigadores el lunes.

dominic chellDirector de MDSecEs dormannAnalista sénior principal de vulnerabilidades de Analygencedijo que el parche lanzado para arreglar CVE-2023-23397 aún se puede eludir si un atacante obtiene acceso a un sistema.

Los investigadores de Microsoft y posteriormente de Mandiant advirtieron que los actores de amenazas vinculados al estado abusaron de la vulnerabilidad para lanzar ataques contra infraestructura crítica en varios países europeos, siguiendo advertencias anteriores de las autoridades de Ucrania.

Los investigadores de Mandiant advirtieron sobre una posible escalada de ataques que involucran a otros actores vinculados al estado y piratas informáticos criminales motivados financieramente.

Chell encontró la debilidad en los pasos de mitigación y planeó contactar a Microsoft acerca de los hallazgos, dormann dijo Cybersecurity Dive.

La actualización de Microsoft evita los sonidos de recordatorio especificados por el remitente en los hosts que Windows considera que están en la red local, dijo Dormann.

La vulnerabilidad aún puede explotarse si el atacante es interno o tiene acceso a través de un host comprometido, según Dormann.

Los atacantes están explotando la vulnerabilidad para enviar correos electrónicos maliciosos que no necesitan ser abiertos por el usuario, según Huntress. Luego, los atacantes capturan Red-NTLMv2 hachísque permiten a un atacante autenticarse en un entorno de Windows y escalar privilegios.

READ  Cuatro cosas de nivel experto que me gustaría saber sobre Kubernetes

“El oponente necesita al menos un punto de apoyo con acceso temprano”, dijo. John Hammond, investigador sénior de seguridad en Huntress. “Esto hace que el exploit no sea tan simple como lo era sin el parche, pero sigue siendo un vector de ataque valioso para los equipos rojos, los evaluadores de penetración o, por supuesto, los actores malintencionados que ya han obtenido acceso al entorno”.

La actualización de seguridad lanzada por Microsoft para CVE-2023-23397 «protege a los clientes de filtrar hashes NTLM fuera de su red», dijo un portavoz de Microsoft por correo electrónico.

El portavoz confirmó que la técnica descrita por los investigadores requeriría que un atacante ya haya obtenido acceso a una red interna.

Por lo tanto, los clientes deben aplicar el parche para permanecer seguros, según el portavoz.

Microsoft instó a los clientes a revise las instrucciones para aplicar actualizaciones de seguridad. La empresa también sugirió revisar las instrucciones para mitigar Ataques Pass-the-Hash.

Federico Pareja

"Escritora típica. Practicante de comida malvada. Genio zombi. Introvertido. Lector. Erudito de Internet. Entusiasta del café incondicional".

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba