Vulnerabilidad de elevación de privilegios en Microsoft Outlook 1

La vulnerabilidad permite que un atacante remoto comprometa el sistema afectado y existe debido a que la aplicación filtra el hash Net-NTLMv2. Un atacante remoto puede enviar un correo electrónico especialmente diseñado a la víctima y obtener el hashNet-NTLMv2 de la cuenta de Windows. La víctima no necesita abrir el correo electrónico, ya que la vulnerabilidad se activa automáticamente cuando el servidor de correo electrónico la recupera y procesa, por ejemplo, antes de que el correo electrónico se vea en el panel de vista previa.

El hash NTLMv2 obtenido se puede utilizar en el ataque de retransmisión NTLM contra otro servicio para autenticarse como usuario.

Tenga en cuenta que la vulnerabilidad se está explotando activamente.

Versiones vulnerables:

• Microsoft Outlook: 2013 – 2021
• Microsoft Office: 365 – 2021

CVE:

CVE-2023-23397

Mitigación:

Agregar usuarios al grupo de seguridad Usuarios protegidos, que impide el uso de NTLM como mecanismo de autenticación. La realización de esta mitigación facilita la solución de problemas de otros métodos para deshabilitar NTLM. Cuando sea posible, considere usarlo para cuentas de alto valor, como administradores de dominio.

Esto puede afectar a las aplicaciones que requieren NTLM, sin embargo, la configuración se revertirá una vez que el usuario salga del grupo Usuarios protegidos.

Bloquee TCP 445/SMB saliente de su red mediante un firewall perimetral, un firewall local y mediante la configuración de VPN. Esto evitará el envío de mensajes de autenticación NTLM a recursos compartidos de archivos remotos.

Si cuenta con un contrato de servicios con Anida con el cual pueda gestionar esta vulnerabilidad, no dude en contactar a su Service Manager.

Microsoft Outlook

Microsoft Outlook