Se han revelado aspectos técnicos sobre dos vulnerabilidades ya parcheadas en Microsoft Windows, que podrían ser explotadas en conjunto por actores de amenazas para lograr la ejecución remota de código (RCE) en el servicio de correo electrónico Outlook, sin requerir ninguna acción del usuario.
Un investigador de seguridad de Akamai, Ben Barnea, quien descubrió estas vulnerabilidades, afirmó que "un atacante en Internet puede aprovechar estas vulnerabilidades para crear un exploit de ejecución remota de código (RCE) completo en clientes de Outlook, sin necesidad de que el usuario haga clic".
Te podrá interesar: Comprendiendo los Ataques de Remote Code Execution (RCE)
Detalles Técnicos sobre Vulnerabilidades en Windows que Permiten RCE en Outlook Sin Interacción del Usuario
Las dos vulnerabilidades de seguridad, solucionadas por Microsoft en agosto y octubre de 2023, son las siguientes:
-
CVE-2023-35384 (CVSS: 5,4): Vulnerabilidad en la plataforma HTML de Windows relacionada con la omisión de características de seguridad.
-
CVE-2023-36710 (CVSS: 7,8): Vulnerabilidad en Windows Media Foundation Core que permite la ejecución remota de código.
Akamai describió CVE-2023-35384 como una solución para una vulnerabilidad crítica que Microsoft había parcheado previamente en marzo de 2023, bajo el nombre CVE-2023-23397 (CVSS: 9,8). Esta falla estaba vinculada a un caso de escalada de privilegios que podía dar lugar al robo de credenciales NTLM y permitir ataques de retransmisión.
Recientemente, se reveló que un grupo de amenazas ruso conocido como APT28 (Forest Blizzard) estaba aprovechando activamente esta vulnerabilidad para obtener acceso no autorizado a cuentas de servidores Exchange.
Te podrá interesar leer: Microsoft: APT28 del Kremlin Explota Falla Grave en Outlook
Es importante destacar que CVE-2023-35384 es la segunda omisión de seguridad tras CVE-2023-29324, ambas descubiertas y corregidas por Ben Barnea. Ambas vulnerabilidades tienen su origen en la explotación de rutas a través de la función MapUrlToZone al enviar correos electrónicos con archivos maliciosos o URL a clientes de Outlook.
Para mitigar estos riesgos, se recomienda a las organizaciones que utilicen la microsegmentación para bloquear conexiones SMB salientes a direcciones IP públicas remotas. Además, se sugiere desactivar NTLM o agregar usuarios al grupo de seguridad "Usuarios protegidos" para evitar el uso de NTLM como mecanismo de autenticación.
Te podrá interesar: ¿Tu software está al día?: Importancia de los Parches
Conclusión
En resumen, las vulnerabilidades reveladas en Microsoft Windows que permiten la ejecución remota de código en el servicio de correo electrónico Outlook sin requerir interacción del usuario son un recordatorio contundente de la importancia de mantener actualizados los sistemas y aplicar los parches de seguridad de manera constante. Estas vulnerabilidades, aunque ya están parcheadas, demuestran la persistente amenaza que representan los actores de amenazas y la necesidad de estar un paso adelante en la protección de nuestras redes y sistemas.
En última instancia, la ciberseguridad es un esfuerzo continuo que requiere vigilancia constante y una respuesta proactiva. La detección temprana y la corrección de vulnerabilidades, junto con prácticas sólidas de seguridad cibernética, son esenciales para proteger nuestros sistemas y datos en un entorno digital cada vez más desafiante.