Microsoft corrigió una falla en su servicio de correo electrónico de Outlook que permitió a los actores de amenazas eludir un parche emitido anteriormente para una falla de escalada de privilegios. Un parche por un parche, por así decirlo.
El investigador de seguridad cibernética Ben Barnea de Akamai descubrió recientemente una omisión sin clic, que ahora se rastrea como CVE-2023-29324. La falla está presente en todas las versiones de Outlook, por lo que todos son vulnerables, concluyó.
«Todas las versiones de Windows se ven afectadas por la vulnerabilidad. Como resultado, todas las versiones de clientes de Outlook en Windows son explotables», dijo Barnea.
Todos en riesgo
Dado que el bypass permite a los actores de amenazas explotar una vulnerabilidad de escalada de privilegios conocida, los equipos de TI deben aplicar el parche lo antes posible.
La falla de escalada de privilegios que se corrigió a principios de este año se rastrea como CVE-2023-23397, se dijo. Los actores de amenazas que abusan de esta falla pueden participar en ataques de retransmisión NTLM y obtener hashes NTLM sin necesidad de la intervención de la víctima. Eso se puede hacer enviando un mensaje malicioso (se abre en una pestaña nueva) mensaje con propiedades MAPI extendidas, que contienen rutas UNC a sonidos de notificación personalizados, explicaron los investigadores en ese momento. Eso hace que Outlook se conecte a recursos compartidos SMB bajo el control de los atacantes.
Para solucionar el problema, Microsoft incluyó una llamada MapUrlToZone, que evita que el parche UNC se vincule a las URL de Internet y, si lo hicieran, los sonidos se reemplazan con recordatorios predeterminados. Sin embargo, Barnea descubrió que la URL en los mensajes de recordatorio se puede modificar, engañando a las comprobaciones de MapUrlToZone y haciendo que la función acepte rutas remotas y rutas locales. En consecuencia, Outlook termina conectándose a un servidor bajo el control de los atacantes:
«Este problema parece ser el resultado del manejo complejo de las rutas en Windows», dijo Barnea.
La última solución no funciona de forma independiente, advirtió Microsoft, diciendo que los usuarios deben aplicar la solución para ambas vulnerabilidades para estar protegidos.
La compañía también dijo que conocidos atacantes patrocinados por el estado ruso estaban aprovechando estas fallas en campañas contra objetivos gubernamentales y militares.
Vía: BleepingComputer (se abre en una pestaña nueva)