Se revela un nuevo ataque de fuga de hash NTLM que explota vulnerabilidades en Outlook y Windows

Ataques de phishing relacionados con el uso compartido del calendario de Outlook y archivos adjuntos maliciosos… Tenga especial cuidado


La empresa de seguridad de datos Varonis descubrió recientemente tres nuevas vulnerabilidades y métodos de ataque sofisticados que exponen vulnerabilidades asociadas con Microsoft Outlook y ciertos programas de Windows. La vulnerabilidad podría exponer a los usuarios al riesgo de comprometer los hashes NTLM v2, un protocolo crítico para autenticar usuarios en servidores remotos.

CVE-2023-35636 actualmente está clasificado como «crítico» por Microsoft.

Al enfatizar la gravedad del riesgo que representa esta vulnerabilidad, el problema se solucionó de inmediato con una actualización del parche el martes 1 de diciembre de 2023. Sin embargo, Baronis dijo que otros problemas calificados como «moderados» siguen sin solucionarse, lo que deja a los usuarios vulnerables a ataques maliciosos.

Una forma de explotar esta vulnerabilidad es manipular inteligentemente la función para compartir calendario de Outlook. El atacante envía correos electrónicos sofisticados a los usuarios de Outlook. Un correo electrónico con dos encabezados específicos hace que Outlook trate el mensaje como un contenido compartido y redirija la sesión de la víctima a un servidor controlado por el atacante.

Al hacer clic en «Abrir este calendario» en el correo electrónico malicioso, el dispositivo de la víctima recuperará el archivo de configuración del servidor del atacante, exponiendo el hash NTLM durante el proceso de autenticación.

Un segundo método de ataque es utilizar WPA (Windows Performance Analyser), una herramienta comúnmente utilizada por los desarrolladores.

Los investigadores de Baroness descubrieron que un controlador URI único dentro de WPA maneja conexiones que utilizan NTLM v2 a través de Internet abierto, revelando hashes NTLM. Un atacante puede aprovechar esto para enviar un correo electrónico que contenga un enlace diseñado para redirigir a la víctima a una carga útil WPA maliciosa en un servidor que controla el atacante.

A diferencia de WPA, que se encuentra principalmente en las computadoras de los desarrolladores, el tercer y cuarto método de ataque utilizan el ampliamente utilizado Explorador de archivos de Windows. Dado que esta herramienta está presente en todas las computadoras con Windows, la superficie de ataque puede ser enorme.

Los métodos de ataque se resumen a continuación.

Un atacante envía un enlace malicioso por correo electrónico, redes sociales u otros canales. Cuando se hace clic en el enlace de destino, el atacante puede obtener el hash y luego intentar descifrar la contraseña del usuario.

Asimismo, los atacantes pueden explotar el Explorador de archivos a través de enlaces maliciosos. Cuando la víctima hace clic en el enlace, el atacante puede obtener el hash y obtener acceso no autorizado.

«Una vez que se descifra el hash y se expone la contraseña, un atacante puede usarlo para iniciar sesión en la organización como usuario. Con esta carga útil, explorer.exe intenta consultar archivos con la extensión .search-ms», dijo Baronis. .

Dada la gravedad de estas vulnerabilidades y el potencial de acceso no autorizado a información confidencial, se recomienda a los usuarios que apliquen inmediatamente las últimas actualizaciones de seguridad de Microsoft. También enfatizó la importancia de aumentar la conciencia sobre los ataques de phishing, especialmente el intercambio de calendarios y los enlaces maliciosos.

★DailySegu, ¡el principal medio de seguridad de Corea!★

Copyright © Seguridad Diaria. Prohibida la reproducción y redistribución.

READ  'Dame otros 7 mil millones y no funcionará'... ¿El primer fichaje del Tottenham 'parece Kim Min-jae'? → "Contrato individual completo. Sólo queda la coordinación final de la tarifa de transferencia."

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *