Microsoft Outlook: los piratas informáticos rusos logran robar contraseñas con solo un correo electrónico









Microsoft ha descubierto y reparado una vulnerabilidad crítica en Microsoft Outlook para Windows que permite a los piratas informáticos robar contraseñas de forma remota con solo enviar un correo electrónico al usuario. ¿Tu computadora está actualizada?

Microsoft lanzó ayer un parche para la falla de seguridad, pero esta falla ha sido explotada como una vulnerabilidad. Día cero en ataques de retransmisión NTLM desde al menos mediados de abril de 2022.

Según lo informado, se trata de una vulnerabilidad muy grave, con una calificación de 9,8, que afecta a todas las versiones de Microsoft Outlook en Windows.

Básicamente, esta falla permite a los atacantes robar credenciales a través de NTLM (protocolo de autenticación), simplemente enviando un correo electrónico malicioso al objetivo. Tenga en cuenta que no se requiere interacción del usuario ya que el exploit tiene lugar cuando el Outlook está abierto y el recordatorio se activa en el sistema.





Ataque fácil y usuarios sin posibilidad

Como se mencionó anteriormente, Windows New Technology LAN Manager (NTLM) es un método de autenticación que se utiliza para iniciar sesión en dominios de Windows utilizando credenciales de inicio de sesión cifradas. Aunque la autenticación NTLM conlleva riesgos conocidos, aún se usa en sistemas nuevos para lograr compatibilidad con sistemas más antiguos.

Funciona con hashes de contraseña que el servidor recibe de un cliente cuando intenta acceder a un recurso compartido. Si son robados, estos hashes sirven para autenticar sistemas en la red..

Microsoft explicó que un atacante podría usar la vulnerabilidad CVE-2023-23397 para obtener hashes NTLM enviando "un mensaje con una propiedad MAPI extendida con una ruta UNC a un recurso compartido SMB (TCP 445) en un servidor controlado por un actor de amenazas".

Cambiando por un lenguaje simple, la falla, explotada por piratas informáticos desde abril de 2022, permite que el el remitente de un correo electrónico puede cambiar y configurar el sonido de alerta para la llegada de un mensaje de correo al destinatario (además de sonido para eventos y tareas del calendario). Pero el nuevo sonido proviene de un servicio externo, ¡no es seguro!

Este cambio, en términos generales, se puede utilizar para activar la autenticación en una dirección IP (del atacante) que se encuentra fuera de la zona de intranet de confianza o de los sitios de confianza. De esta forma, Outlook envía datos de acceso a la cuenta directamente a los piratas informáticos.

Estos hash NTLM robados se pueden usar para realizar ataques de retransmisión NTLM para un acceso más profundo a las redes corporativas.

Para mitigar este problema, Microsoft ya ha puesto a disposición un script que verifica si hay máquinas en las empresas comprometidas por este tipo de ataques. En términos prácticos, este script verifica que los correos electrónicos, los eventos del calendario y las tareas no tengan el sonido definido por la intervención de un servidor externo.

Ana Gomez

Ana Gómez. Nació en Asturias pero vive en Madrid desde hace ya varios años. Me gusta de todo lo relacionado con los negocios, la empresa y los especialmente los deportes, estando especializada en deporte femenino y polideportivo. También me considero una Geek, amante de la tecnología los gadgets. Ana es la reportera encargada de cubrir competiciones deportivas de distinta naturaleza puesto que se trata de una editora con gran experiencia tanto en medios deportivos como en diarios generalistas online. Mi Perfil en Facebookhttps://www.facebook.com/ana.gomez.029   Email de contacto: ana.gomez@noticiasrtv.com

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *