Nuevos Detalles sobre las Vulnerabilidades Zero-Click en Outlook para Ejecución Remota de Código (RCE)

XPoint
Publicado el 18/12/2023

Detalles Técnicos han surgido sobre dos fallos de seguridad en Microsoft Windows, ya parcheados, que podrían ser encadenados por actores de amenazas para lograr la ejecución remota de código en el servicio de correo electrónico Outlook sin necesidad de interacción del usuario.

«Un atacante en Internet puede encadenar las vulnerabilidades para crear un exploit completo de ejecución remota de código (RCE) sin clics contra clientes de Outlook», dijo Ben Barnea, investigador de seguridad de Akamai, quien descubrió las vulnerabilidades, en un informe compartido con The Hacker News.

Los problemas de seguridad, abordados por Microsoft en agosto y octubre de 2023, respectivamente, se enumeran a continuación:

  • CVE-2023-35384 (puntuación CVSS: 5.4) – Vulnerabilidad de Bypass de la Característica de Seguridad de Plataformas HTML de Windows.
  • CVE-2023-36710 (puntuación CVSS: 7.8) – Vulnerabilidad de Ejecución Remota de Código en el Núcleo de la Fundación Multimedia de Windows.

Akamai describe CVE-2023-35384 como un bypass para una vulnerabilidad crítica que Microsoft parcheó en marzo de 2023. Rastreada como CVE-2023-23397 (puntuación CVSS: 9.8), la vulnerabilidad se relaciona con un caso de escalada de privilegios que podría resultar en el robo de credenciales NTLM y permitir a un atacante realizar un ataque de relay.

A principios de este mes, Microsoft, Proofpoint y Palo Alto Networks Unit 42 revelaron que un actor de amenazas ruso conocido como APT29 ha estado utilizando activamente el error para obtener acceso no autorizado a las cuentas de las víctimas en servidores Exchange.

Es importante destacar que CVE-2023-35384 es el segundo bypass después de CVE-2023-29324, también descubierto por Barnea y posteriormente remediado por Redmond como parte de las actualizaciones de seguridad de mayo de 2023.

«Cabe destacar que encontramos otro bypass para la vulnerabilidad original de Outlook, un bypass que una vez más nos permitió forzar al cliente a conectarse a un servidor controlado por el atacante y descargar un archivo de sonido malicioso», dijo Barnea.

La vulnerabilidad CVE-2023-35384, al igual que CVE-2023-29324, tiene su origen en el análisis de una ruta por la función MapUrlToZone que podría ser explotada al enviar un correo electrónico con un archivo malicioso o una URL a un cliente de Outlook.

«Existe una vulnerabilidad de bypass de la característica de seguridad cuando la plataforma MSHTML no valida la Zona de Seguridad correcta de las solicitudes para URLs específicas. Esto podría permitir a un atacante hacer que un usuario acceda a una URL en una Zona de Seguridad en Internet menos restringida de lo previsto», señaló Microsoft en su aviso.

Al hacerlo, la vulnerabilidad no solo puede utilizarse para filtrar credenciales NTLM, sino que también puede encadenarse con la vulnerabilidad de análisis de sonido (CVE-2023-36710) para descargar un archivo de sonido personalizado que, al reproducirse automáticamente con la función de sonido de recordatorio de Outlook, puede llevar a una ejecución de código sin clics en la máquina de la víctima.

CVE-2023-36710 afecta al componente Administrador de Compresión de Audio (ACM), un marco multimedia heredado de Windows que se utiliza para gestionar códecs de audio, y es el resultado de una vulnerabilidad de desbordamiento de enteros que ocurre al reproducir un archivo WAV.

«Finalmente, logramos activar la vulnerabilidad usando el códec IMA ADP», explicó Barnea. «El tamaño del archivo es de aproximadamente 1.8 GB. Realizando la operación de límite matemático en el cálculo, podemos concluir que el tamaño de archivo más pequeño posible con el códec IMA ADP es de 1 GB».

Para mitigar los riesgos, se recomienda que las organizaciones utilicen la microsegmentación para bloquear las conexiones SMB salientes a direcciones IP públicas remotas. Además, también se aconseja desactivar NTLM o agregar usuarios al grupo de seguridad de Usuarios Protegidos, lo que evita el uso de NTLM como mecanismo de autenticación.

Preguntas frecuentes

¿Qué es Ejecución Remota de Código?

+

La «Ejecución Remota de Código» (RCE por sus siglas en inglés, Remote Code Execution) es una vulnerabilidad informática que permite a un atacante ejecutar código en un sistema objetivo de forma remota, es decir, desde una ubicación externa a la víctima. Esta vulnerabilidad es particularmente peligrosa porque permite al atacante tomar control completo sobre el sistema afectado.

Cuando un sistema es vulnerable a la ejecución remota de código, un atacante puede explotar esta debilidad para enviar instrucciones o comandos desde una ubicación remota y ejecutarlos en el sistema comprometido. Esto puede permitir al atacante realizar diversas acciones maliciosas, como instalar malware, robar información, modificar o eliminar datos, crear cuentas de usuario, entre otras acciones.

En el contexto de la ciberseguridad, la ejecución remota de código suele ser uno de los objetivos principales de los ciberdelincuentes, ya que les proporciona un control total sobre el sistema afectado. Los ataques de ejecución remota de código pueden aprovechar diversas vulnerabilidades, como fallos en el software, debilidades en la configuración del sistema o errores en la implementación de protocolos de red.

Las consecuencias de un ataque de ejecución remota de código pueden ser graves, ya que puede comprometer la integridad, confidencialidad y disponibilidad de la información almacenada en el sistema afectado. Por esta razón, las organizaciones y los desarrolladores de software implementan medidas de seguridad, como parches y actualizaciones, para corregir vulnerabilidades conocidas y prevenir ataques de este tipo. Además, la concientización en ciberseguridad y buenas prácticas de seguridad son esenciales para reducir el riesgo de explotación de estas vulnerabilidades.

¿Qué es un Zero-Click?

+

Un «zero-click» (sin clics) se refiere a un tipo de ataque informático en el cual el usuario objetivo no necesita interactuar activamente con el elemento malicioso para que la acción maliciosa se lleve a cabo. En el contexto de ciberseguridad y ataques a sistemas, esto implica que el atacante puede explotar una vulnerabilidad o llevar a cabo una acción maliciosa sin que el usuario tenga que hacer clic en un enlace, abrir un archivo adjunto o realizar alguna otra acción deliberada.

En el caso de la noticia que proporcionaste sobre «Zero-Click Outlook RCE Exploits,» implica que los atacantes pueden lograr la ejecución remota de código en el servicio de correo electrónico Outlook sin requerir que el usuario haga clic en ningún enlace o realice alguna otra acción específica. Esto hace que el ataque sea más sigiloso y peligroso, ya que el usuario puede ser comprometido sin su conocimiento o participación activa.

Los ataques zero-click son altamente sofisticados y a menudo explotan vulnerabilidades en el software o el sistema operativo de la víctima. En este caso específico, se menciona que los atacantes pueden encadenar dos vulnerabilidades ya parcheadas en Microsoft Windows para lograr la ejecución remota de código en Outlook sin requerir ninguna interacción por parte del usuario. Estos tipos de ataques resaltan la importancia de mantener el software actualizado, implementar medidas de seguridad sólidas y fomentar la conciencia entre los usuarios para protegerse contra amenazas avanzadas.

¿Qué es un CyberSOC?

+

CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos