Cadena de vulnerabilidades en Outlook que conducen a RCE sin clic
Los investigadores de seguridad de Akamai están compartiendo detalles sobre múltiples formas de saltear los parches que Microsoft publicó a principios de año para una vulnerabilidad de ejecución remota de código Zero-Click en Outlook.
El problema original, identificado como CVE-2023-23397, fue solucionado por Microsoft en marzo de 2023 después de que un actor de amenazas patrocinado por el estado ruso lo hubiera estado explotando durante aproximadamente un año.
Un atacante no autenticado podría aprovechar el problema enviando un recordatorio por correo electrónico que contenga una notificación sonora especificada como ruta, obligando al cliente Outlook a conectarse al servidor del atacante, lo que resultó en el envío del hash Net-NTLMv2 al servidor.
No se requiere interacción del usuario para la explotación, ya que el error se activa inmediatamente cuando el servidor recibe y procesa el correo electrónico. Microsoft lo resolvió con una llamada a una función API que verifica la ruta para asegurarse de que no es una referencia a una URL en Internet.
Sin embargo, se podría engañar a la función llamada para que trate una ruta remota como local, al incluir una URL modificada en el correo electrónico. Descubierto por Akamai y rastreado como CVE-2023-29324, Microsoft solucionó el problema en mayo.
Sin embargo, la falla CVE-2023-29324 es solo una de los ataques que Akamai identificó mientras investigaba la vulnerabilidad de clic cero de Outlook. El segundo, rastreado como CVE-2023-35384 y solucionado por Microsoft con los parches de agosto de 2023, es una confusión de tipo de ruta que puede explotarse a través de URL diseñadas, pero que requiere la interacción del usuario.
"Un atacante puede crear un archivo malicioso o enviar una URL maliciosa que evadiera el etiquetado de la Zona de Seguridad, lo que resultaría en una pérdida limitada de integridad y disponibilidad de las funciones de seguridad utilizadas por los navegadores y algunas aplicaciones personalizadas", dijo Microsoft en su aviso.
En octubre, el gigante tecnológico parcheó otra vulnerabilidad relacionada con este vector de ataque de Outlook, esta vez basada en el análisis de archivos de sonido en Windows. Registrado como CVE-2023-36710, el problema es un error de desbordamiento de enteros en el Administrador de compresión de audio (ACM), el código que maneja los casos en los que el códec de un archivo WAV debe ser decodificado por un decodificador personalizado. Los códecs son manejados por controladores similares en función a los controladores en modo kernel, pero que se registran a través del ACM.
El defecto de seguridad se identificó en la función mapWavePrepareHeader en el administrador de ACM, señala Akamai en un artículo técnico. Debido a que la función no realiza ninguna verificación de desbordamientos al agregar bytes al tamaño del búfer de destino, un atacante puede desencadenar la asignación de un búfer muy pequeño, lo que provoca dos escrituras fuera de los límites.
"Logramos activar la vulnerabilidad utilizando el códec IMA ADP. El tamaño del archivo es de aproximadamente 1,8 GB. Al realizar la operación de límite matemático en el cálculo, podemos concluir que el tamaño de archivo más pequeño posible con el códec IMA ADP es 1 GB", según la documentación de Akamai.
Según Akamai, un atacante podría explotar con éxito esta vulnerabilidad en el contexto del cliente Outlook u otra aplicación de mensajería instantánea para lograr la ejecución remota de código sin interacción del usuario.
"A partir de ahora, la superficie de ataque en Outlook que investigamos todavía existe y se pueden encontrar y explotar nuevas vulnerabilidades. Aunque Microsoft parcheó Exchange para eliminar los correos electrónicos que contienen la propiedad PidLidReminderFileParameter, no podemos descartar la posibilidad de eludir esta mitigación", concluye Akamai.
Fuente: SecurityWeek
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!