A Microsoft corrigiu recentemente uma vulnerabilidade de dia zero sob exploração ativa no Microsoft Outlook, identificada como CVE-2023-23397, que pode permitir que um invasor execute uma escalação de privilégio, acessando o hash de autenticação de desafio-resposta Net-NTLMv2 da vítima e representando o usuário.
Agora está ficando claro que o CVE-2023-23397 é perigoso o suficiente para se tornar o bug de maior alcance do ano, alertam os pesquisadores de segurança. Desde a divulgação há apenas três dias, mais explorações de prova de conceito (PoC)surgiram em cena, o que certamente se traduzirá em uma bola de neve do interesse criminoso – auxiliado pelo fato de que nenhuma interação do usuário é necessária para a exploração.
Se a correção não for possível rapidamente, existem algumas opções para resolver o problema, indicadas abaixo.
Exploração fácil: nenhuma interação do usuário é necessária
A vulnerabilidade permite que os invasores roubem hashes de autenticação NTLM enviando notas ou tarefas maliciosas do Outlook para a vítima. Eles acionam a exploração automaticamente quando são recuperados e processados pelo cliente Outlook, o que pode levar à exploração antes que o e-mail seja visualizado no painel de visualização. Em outras palavras, um alvo não precisa realmente abrir o e-mail para ser vítima de um ataque.
Descoberto por pesquisadores da Computer Emergency Response Team (CERT) da Ucrânia e por um dos próprios pesquisadores da Microsoft – e corrigido no início desta semana como parte da atualização do Patch Tuesday da Microsoft – o bug afeta aqueles que executam um servidor Exchange e o cliente de desktop Outlook para Windows. Outlook para Android, iOS, Mac e Outlook para Web (OWA) não são afetados.
“Atacantes externos podem enviar e-mails especialmente elaborados que causarão uma conexão da vítima a um local UNC externo sob controle dos invasores”, diz Mark Stamford, fundador e CEO da OccamSec. Isso vazará o hash Net-NTLMv2 da vítima para o invasor, que poderá retransmiti-lo para outro serviço e se autenticar como a vítima, explica ele.
Uma gama de possíveis impactos de exploração
Nick Ascoli, fundador e CEO da Foretrace, aponta que embora a Microsoft não tenha mencionado como os criminosos a estavam usando em seus ataques, ela permite a reutilização da autenticação roubada para se conectar a outros computadores na rede para movimentação lateral.
“A gama de possíveis ataques pode ir desde a exfiltração de dados até a instalação potencial de malware, dependendo das permissões da vítima”, diz ele.
Bud Broomhead, CEO da Viakoo, observa que “as prováveis vítimas são as mais suscetíveis ao comprometimento de e-mail comercial (BEC) e a ter sua identidade usada para outras formas de exploração”. Ele aponta que há algumas áreas que podem impactar, sendo as mais sérias o gerenciamento de identidade e a confiança nas comunicações internas por e-mail.
“Os riscos também incluem violação dos principais sistemas de TI, distribuição de malware, comprometimento de e-mails comerciais para ganhos financeiros e interrupção das operações e continuidade dos negócios”, adverte Broomhead.
Este é o bug “It” de 2023?
Broomhead da Viakoo diz que, embora neste ponto em 2023 possa haver muitos possíveis bugs “It” vindos da Microsoft, este é certamente um candidato.
“Como afeta organizações de todos os tipos e tamanhos, possui métodos disruptivos de mitigação e o treinamento de funcionários não o impedirá, essa pode ser uma vulnerabilidade que requer um esforço mais significativo para mitigar e remediar”, explica ele.
Ele observa que a superfície de ataque é pelo menos tão grande quanto a base de usuários do Outlook para desktop (massiva) e sistemas de TI potencialmente centrais conectados ao Windows 365 (muito massiva) e até mesmo qualquer destinatário de e-mail enviado pelo Outlook (praticamente todo mundo).
Então, como mencionado, os PoCs que estão circulando tornam a situação ainda mais atraente para os cibercriminosos.
“Como a vulnerabilidade é pública e as instruções para uma prova de conceito estão bem documentadas agora, outros agentes de ameaças podem adotar a vulnerabilidade em campanhas de malware e atingir um público mais amplo”, acrescenta Daniel Hofmann, CEO da Hornetsecurity. “No geral, explorar a vulnerabilidade é simples e as provas de conceito públicas já podem ser encontradas no GitHub e em outros fóruns abertos”.
O que as empresas devem fazer? Eles podem ter que olhar além do patch, alerta Broomhead: “A mitigação neste caso é difícil, pois causa interrupção na forma como os sistemas de e-mail e os usuários dentro dele são configurados”.
Como se proteger contra CVE-2023-23397
Para aqueles incapazes de corrigir imediatamente, Hofmann da Hornetsecurity diz que para melhor proteger a organização, os administradores devem bloquear o tráfego de saída TCP 445/SMB para a Internet da rede usando firewalls de perímetro, firewalls locais e configurações de VPN.
“Esta ação impede a transmissão de mensagens de autenticação NTLM para compartilhamentos de arquivos remotos, ajudando a resolver o CVE-2023-23397”, explica ele.
As organizações também devem adicionar usuários ao “Grupo de segurança de usuários protegidos” no Active Directory para evitar que o NTLM seja um mecanismo de autenticação.
“Essa abordagem simplifica a solução de problemas em comparação com outros métodos de desabilitação do NTLM”, diz Broomhead. “É particularmente útil para contas de alto valor, como administradores de domínio.”
Ele aponta que a Microsoft forneceu um script para identificar e limpar ou remover mensagens do Exchange com caminhos UNC nas propriedades da mensagem e aconselha os administradores a aplicar o script para determinar se foram afetados pela vulnerabilidade e corrigi-la.
FONTE: DARK READING