Sistemas Afectados
La vulnerabilidad afecta a todas las versiones de Microsoft Outlook.
Descripción
La vulnerabilidad de Outlook identificada con el CVE-2023-23397 es una vulnerabilidad crítica de elevación de privilegios/bypass de autenticación. La misma, afecta a todas las versiones de Outlook para Windows, recibió una calificación CVSS de 9.8 y es uno de los dos exploits de día cero divulgados el 14 de marzo del 2023 en la lista de parches de actualización liberados por el proveedor.
Esta vulnerabilidad podría permitir a actores mal intencionados enviar un correo electrónico malicioso, que no necesita ser abierto. Y partir de ahí, permitir a los atacantes capturar hashes de Net-NTLMv2, que permiten la autenticación en entornos de Windows. Permitiendo así a los atacantes potencialmente autenticarse como las víctimas, escalar privilegios o comprometer aún más el entorno.
Referencia
Solución
A continuación, se detallan algunas medidas de mitigación recomendadas para protegerse de la vulnerabilidad de Outlook por Microsoft:
- Aplique los parches del proveedor inmediatamente. Microsoft ha lanzado un parche como parte de su Actualización de Seguridad Mensual de Marzo de 2023.
- Bloquee el puerto TCP 445/SMB desde su red. Esto evitará el envío de mensajes de autenticación NTLM a recursos compartidos de archivos remotos. Si esto no puede ser hecho, recomendamos monitorear el tráfico de salida sobre el puerto 445 en busca de direcciones IP externas desconocidas, y luego identificarlas y bloquearlas.
- Los clientes de Outlook pueden desactivar el servicio WebClient. Tenga en cuenta que esto bloqueará todas las conexiones WebDAV, incluyendo las de intranet.
- Agregar a los usuarios al grupo de seguridad de Usuarios Protegidos. Esto impide el uso de NTLM como mecanismo de autenticación, pero tenga en cuenta que esto podría afectar a las aplicaciones que dependen de NTLM en su entorno.
- Haga cumplir la firma SMB en los clientes y servidores para evitar un ataque de relay.