Pesquisadores de segurança compartilharam detalhes técnicos sobre a exploração de uma vulnerabilidade crítica no Microsoft Outlook para Windows (
CVE-2023-23397
) que permite que hackers roubem senhas hash remotamente, apenas recebendo um e-mail.
A Microsoft lançou um patch para essa falha de segurança, mas ela tem sido explorada como uma vulnerabilidade zero-day em ataques NTLM-relay desde pelo menos meados de abril de 2022.
O problema é uma vulnerabilidade de escalonamento de privilégios com uma classificação de gravidade de 9.8 que afeta todas as versões do Microsoft Outlook no Windows.
Um atacante pode usá-lo para roubar credenciais NTLM simplesmente enviando um e-mail malicioso ao alvo.
Nenhuma interação do usuário é necessária, pois a exploração ocorre quando o Outlook está aberto e o lembrete é acionado no sistema.
O Windows New technology LAN Manager (NTLM) é um método de autenticação usado para fazer login em domínios do Windows usando credenciais de login hash.
Embora a autenticação NTLM tenha riscos conhecidos, ela ainda é usada em novos sistemas para compatibilidade com sistemas mais antigos.
Funciona com hashes de senha que o servidor recebe de um cliente quando ele tenta acessar um recurso compartilhado, como compartilhamentos SMB.
Se roubados, esses hashes podem ser usados para autenticar na rede.
A Microsoft explicou que um atacante pode usar o
CVE-2023-23397
para obter hashes NTLM enviando "uma mensagem com uma propriedade MAPI estendida com um caminho UNC para um compartilhamento SMB (TCP 445) em um servidor controlado por um ator de ameaças".
"A conexão com o servidor SMB remoto envia a mensagem de negociação NTLM do usuário, que o atacante pode então relé para autenticação contra outros sistemas que suportam autenticação NTLM" - Microsoft.
No entanto, a exploração do problema requer mais detalhes técnicos, que vieram logo após a Microsoft lançar a correção de pesquisadores da empresa de consultoria de segurança MDSec.
Após revisar um script da Microsoft que verifica itens de mensagens do Exchange em busca de sinais de exploração usando o
CVE-2023-23397
, o membro da equipe vermelha da MDSec, Dominic Chell, descobriu como um ator de ameaças poderia aproveitar facilmente o bug.
Ele descobriu que o script poderia procurar a propriedade "PidLidReminderFileParameter" dentro dos itens de e-mail recebidos e removê-la quando presente.
Chell explica que essa propriedade permite que o remetente defina o nome do arquivo que o cliente Outlook deve reproduzir quando o lembrete da mensagem é acionado.
A razão pela qual isso era possível permanece um quebra-cabeça que o pesquisador não conseguiu explicar, uma vez que o remetente de um e-mail não deveria ser capaz de configurar o som para o alerta de nova mensagem no sistema do receptor.
Chell observou que, se a propriedade aceitasse um nome de arquivo, também seria possível adicionar um caminho UNC para acionar a autenticação NTLM.
O pesquisador também descobriu que a propriedade PidLidReminderOverride poderia ser usada para fazer o Microsoft Outlook analisar um caminho UNC remoto e malicioso no PidLidReminderFileParameter.
Essas hashes NTLM roubadas podem então ser usadas para realizar ataques de relé NTLM para acesso mais profundo às redes corporativas.
Além de compromissos de calendário, um atacante também poderia usar Tarefas do Microsoft Outlook, Notas ou mensagens de e-mail para roubar as hashes.
Chell observa que o
CVE-2023-23397
pode ser usado para acionar a autenticação para um endereço IP que está fora da Zona de Intranet Confiável ou Sites Confiáveis.
A MDSec compartilhou um vídeo que mostra como a vulnerabilidade crítica recém-patcheada no Microsoft Outlook pode ser explorada: Vulnerabilidade zero-day para hackers russos A vulnerabilidade foi encontrada e relatada à Microsoft pela Equipe de Resposta a Emergências em Computadores da Ucrânia (CERT-UA), provavelmente depois de vê-la sendo usada em ataques direcionados contra seus serviços.
De acordo com a Microsoft, um "ator de ameaças baseado na Rússia" explorou a vulnerabilidade em ataques direcionados contra várias organizações europeias nos setores governamental, de transporte, energia e militar.
O grupo de hackers por trás dos ataques é acreditado ser o APT28 (também conhecido como Strontium, Fancy Bear, Sednit, Sofacy), um ator de ameaças que foi vinculado à Diretoria Principal do Estado-Maior das Forças Armadas da Federação Russa (GRU).
Até 15 organizações acreditam ter sido alvo ou comprometidas usando o
CVE-2023-23397
, sendo o último ataque ocorrido em dezembro passado.
Depois de obter acesso, os hackers frequentemente usam os frameworks de código aberto Impacket e PowerShell Empire para estender seu controle e mover-se para sistemas mais valiosos na rede para coletar informações.
Os administradores são fortemente aconselhados a priorizar a correção do
CVE-2023-23397
e usar o script da Microsoft para verificar sinais de exploração verificando se os itens de mensagens no Exchange vêm com um caminho UNC.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...