De uma vulnerabilidade a outra: análise de patch do Outlook revela falha importante na API do Windows
A Microsoft corrigiu uma vulnerabilidade de segurança esta semana que poderia ser usada por invasores remotos para contornar patches recentes para uma falha crítica de segurança 0day do Outlook.
Esse zero click bypass (CVE-2023-29324) afeta todas as versões suportadas do Windows e foi relatado pelo pesquisador de segurança da Akamai, Ben Barnea. “Todas as versões do Windows são afetadas pela vulnerabilidade. Como resultado, todas as versões do cliente Outlook no Windows são exploráveis”, explicou Barnea.
O bug 0day do Outlook corrigido em março (CVE-2023-23397) é uma falha de escalonamento de privilégios no cliente Outlook para Windows que permite que invasores roubem hashes NTLM sem interação do usuário em ataques de retransmissão NTLM. Atores de ameaças podem explorá-lo enviando mensagens com propriedades MAPI estendidas contendo caminhos UNC para sons de notificação personalizados, fazendo com que o cliente Outlook se conecte a compartilhamentos SMB sob seu controle. A Microsoft resolveu o problema incluindo uma chamada MapUrlToZone para garantir que os caminhos UNC não se vinculem a URLs da Internet e substituindo os sons por lembretes padrão, se houver.
Bypass do Outlook zero-click privilege escalation
Ao analisar a mitigação CVE-2023-23397, Barnea descobriu que a URL nas mensagens de lembrete poderia ser alterada para enganar as verificações de MapUrlToZone para aceitar caminhos remotos como caminhos locais. Isso contorna o patch da Microsoft e faz com que o cliente Windows Outlook se conecte ao servidor do invasor. “Esse problema parece ser resultado da manipulação complexa de caminhos no Windows”, explica Barnea. À luz das descobertas de Barnea, a Microsoft adverte que “os clientes devem instalar as atualizações para CVE-2023-23397 e CVE-2023-29324 para ficarem totalmente protegidos”. Embora o Internet Explorer tenha sido desativado, a plataforma MSHTML vulnerável ainda está sendo usada por alguns aplicativos por meio do controle do WebBrowser, bem como pelo modo Internet Explorer no Microsoft Edge.
Por causa disso, Redmond recomenda que os clientes instalem as atualizações de segurança deste mês e as atualizações cumulativas do IE lançadas para lidar com a vulnerabilidade CVE-2023-29324 para permanecer totalmente protegido.
Explorado por hackers russos para roubo de dados
Como a Microsoft revelou em um relatório privado de análise de ameaças, ele foi explorado por hackers do estado russo APT28 (também conhecidos como STRONTIUM, Sednit, Sofacy ou Fancy Bear) em ataques contra pelo menos 14 organizações governamentais, militares, de energia e transporte entre meados de abril e Dezembro de 2022. O APT28 foi vinculado ao serviço de inteligência militar da Rússia, a Diretoria Principal do Estado-Maior das Forças Armadas da Federação Russa (GRU). Os agentes de ameaças usaram notas e tarefas maliciosas do Outlook para roubar hashes NTLM, forçando os dispositivos de seus alvos a se autenticarem em compartilhamentos SMB controlados pelo invasor. Essas credenciais roubadas foram usadas para movimentação lateral nas redes das vítimas e para alterar as permissões da caixa de correio do Outlook para exfiltrar e-mails de contas específicas. A Microsoft lançou um script para ajudar os administradores do Exchange a verificar se seus servidores foram violados, mas também os aconselhou a procurar outros sinais de exploração se os agentes da ameaça limpassem seus rastros.