Microsoft Half-Patches Antiguo Outlook Vulnerabilidad

Microsoft ha publicado un parche para una vulnerabilidad de Outlook que se publicó por primera vez a finales de 2016, pero el parche se ha considerado incompleto y se necesitan soluciones adicionales, según el investigador de seguridad que lo descubrió.

El tren de actualizaciones del Patch Tuesday de abril de 2018 de ayer incluía una corrección para CVE-2018-0950, una vulnerabilidad en Microsoft Outlook descubierta por Will Dormann, un analista de vulnerabilidades en el Centro de Coordinación CERT (CERT/CC).

Outlook recupera el contenido OLE remoto sin necesidad de solicitarlo

Según Dormann, el principal problema con CVE-2018-0950 es que Microsoft Outlook renderizará automáticamente el contenido de los objetos OLE remotos incrustados dentro de correos electrónicos con formato enriquecido sin necesidad de preguntar al usuario, algo que Microsoft hace en otras aplicaciones de Office como Word, Excel y PowerPoint.

Esto conduce a una serie de problemas que provienen de la renderización automática de objetos OLE, un vector de ataque común para los autores de malware.

Dormann dice que durante sus experimentos pudo explotar esta decisión de diseño de Outlook OLE para robar contraseñas de cuentas de usuario (hash NTLM, para ser más precisos) de ordenadores con Windows.

Lo hizo enviando un correo electrónico a un usuario de Outlook que contenía un objeto OLE que hacía peticiones a un servidor SMB malicioso remoto. Por diseño, el sistema Windows de la víctima intentaría autenticarse en el servidor SMB remoto (y malicioso) compartiendo el hash NTLM del usuario.

Un atacante sólo tendría que recopilar estos hashes, descifrarlos fuera de línea y utilizarlos para infiltrarse en el equipo del usuario y luego en otras partes de la red interna.

Parches de Microsoft Sólo vector de ataque para PYMES

En una nota de vulnerabilidad de CERT/CC, Dormann dice que notificó a Microsoft de la propensión de Outlook a cargar objetos OLE sin alertar a los usuarios en noviembre de 2016.

Después de casi 18 meses, la compañía finalmente emitió un parche para el problema reportado, pero Dormann dice que el parche no aborda el problema en el centro del problema.

Según Microsoft, el parche CVE-2018-0950 entregado ayer sólo bloquea a Outlook para que no inicie conexiones SMB al previsualizar correos electrónicos con formato enriquecido.

Dormann señala que Outlook todavía no solicita al usuario permiso para renderizar objetos OLE para vistas previas de correo electrónico.

Además, el investigador también destaca que existen otras formas de obtener los hashes NTLM, como por ejemplo incrustar enlaces UNC a servidores SMB dentro del correo electrónico, enlaces que Outlook hará automáticamente clicables. “Si un usuario hace clic en un enlace de este tipo, el impacto será el mismo que con esta vulnerabilidad”, dice Dormann.

Pero incluso este parche incompleto es una buena noticia. Esto significa que mientras Outlook continuará renderizando objetos OLE dentro de las previsualizaciones de correo electrónico, al menos estos objetos ya no se pueden utilizar para robar hashes NTLM a través de SMB.

Para evitar que los atacantes tengan acceso a los hashes NTLM a través de SMB, el experto recomienda que los administradores del sistema apliquen soluciones adicionales a nivel de sistema operativo, como por ejemplo:

* Bloqueo de conexiones SMB entrantes y salientes en el borde de la red

* Bloqueo de la autenticación de inicio de sesión único (SSO) NTLM
.
* Uso de contraseñas complejas para evitar el agrietamiento rápido de NTLM

Contenido relacionado

Categorías Windows

Deja un comentario