Se aconseja a los usuarios de Microsoft Outlook que apliquen urgentemente los parches de seguridad proporcionados por Microsoft
Madrid, España (16 de marzo de 2023) – Se ha descubierto una grave vulnerabilidad de seguridad en Microsoft Outlook, que actualmente está siendo explotada por ciberdelincuentes. La vulnerabilidad, identificada como CVE-2023-23397 con una puntuación CVSS de 9,8, permite a un atacante remoto no autorizado comprometer sistemas simplemente transmitiendo un correo electrónico específicamente diseñado. Este correo electrónico malicioso permite al atacante obtener acceso no autorizado a las credenciales del destinatario.
Se esperan ataques generalizados dirigidos contra esta vulnerabilidad
Umut Alemdar, Jefe del Laboratorio de Seguridad de Hornetsecurity -Hornetsecurity Lab-, ha declarado: «Esperamos que aumente la probabilidad de que se produzcan más ataques generalizados dirigidos contra la vulnerabilidad CVE-2023-23397, puesto que ya se han hecho públicas pruebas de concepto. Por lo tanto, recomendamos encarecidamente a todos los usuarios de Microsoft Outlook que apliquen los parches de seguridad proporcionados por Microsoft lo antes posible». Confirmó que Hornetsecurity detecta los correos electrónicos que explotan la vulnerabilidad y los pone en cuarentena para evitar que lleguen a la bandeja de entrada de la víctima, y añadió: «El Laboratorio de Seguridad de Hornetsecurity sigue vigilando el panorama de amenazas para garantizar que los clientes estén protegidos frente a las últimas ciberamenazas.»La explotación se produce incluso antes de que el email aparezca en el panel de vista previa
El exploit se inicia mediante la obtención y el procesamiento de un correo electrónico malicioso por el cliente de Outlook, lo que potencialmente conduce a la explotación incluso antes de que el correo electrónico se muestre en el panel de vista previa. Se desencadena una conexión de la víctima a una ubicación controlada por el atacante. Esto provoca la filtración del hash Net-NTLMv2 de la víctima, un protocolo de desafío-respuesta utilizado para la autenticación en entornos Windows. El atacante puede entonces transmitir esta información a otro servicio y autenticarse como la víctima, comprometiendo aún más el sistema. La complejidad del ataque es baja y, según Microsoft, se ha visto con el exploit siendo utilizado para atacar al gobierno europeo y a organizaciones militares, energéticas y de transporte. El CERT-UA (Equipo de Respuesta a Emergencias Informáticas de Ucrania) informó inicialmente a Microsoft. Una prueba de concepto creada por el equipo del Laboratorio de Seguridad de Hornetsecurity demuestra que el exploit es difícil de detectar, ya que todos los servicios antimalware y sandbox incorporados a VirusTotal fueron incapaces de reconocerlo como malicioso.Medidas recomendadas
Para obtener una lista de las versiones afectadas y las medidas recomendadas para proteger tu organización, haz clic aqui.