Fecha de publicación: 16/03/2023 Nivel de peligrosidad: CRÍTICO
El CCN-CERT, del Centro Criptológico Nacional, avisa de la publicación de una vulnerabilidad de elevación de privilegios en Microsoft Outlook que está siendo explotada activamente.
Esta vulnerabilidad ha sido calificada como crítica y se le ha asignado el código CVE-2023-23397 con una calificación del 9.8 según la escala CVSSv3 y notificada por la compañía con su respectivo aviso de seguridad.
Un atacante podría acceder al hash Net-NTLMv2 de un usuario y podría ser utilizado como base de un ataque NTLM Relay contra otro servicio para autenticarse como usuario. Esta vulnerabilidad podría permitir que un usuario enviara un correo especialmente diseñado para activarse automáticamente cuando es recuperado y procesado por el cliente Outlook. La explotación podría producirse antes de que el correo electrónico sea visible en la vista previa. Los atacantes podrían enviar correos electrónicos diseñados con el objeto de provocar una conexión de la víctima a una ubicación UNC controlada por los atacantes.
Recursos afectados
Se han visto afectadas las siguientes versiones de MS Outlook:
- Versión 16.0.1
- Versión 16.0.0.0 hasta 16.0.5387.1000
- Versión 15.0.0.0 hasta 15.0.5537.1000
Recomendaciones:
Se recomienda bloquear la salida de tráfico hacia el puerto TCP 445/SMB desde la red en el cortafuegos perimetral para evitar el envío de mensajes de autenticación NTLM a recursos compartidos de archivos remotos. También debe valorarse la inclusión de usuarios en el grupo de seguridad de usuarios protegidos, lo cual impide el uso de NTLM como sistema de autenticación.
El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Referencias:
Atentamente,
Equipo CCN-CERT
|