Ciberseguridad 360 | Vulnerabilidad en Outlook permite secuestro de cuentas de Exchange

La unidad de Inteligencia de Amenazas de Microsoft emiti� una advertencia hoy sobre el actor patrocinado por el estado ruso APT28 (tambi�n conocido como "Fancybear" o "Strontium") que est� explotando activamente la vulnerabilidad CVE-2023-23397 en Outlook para secuestrar cuentas de Microsoft Exchange y robar informaci�n confidencial.

Las entidades objetivo incluyen gobiernos, energ�a, transporte y otras organizaciones clave en los Estados Unidos, Europa y el Medio Oriente.

El gigante tecnol�gico tambi�n destac� la explotaci�n de otras vulnerabilidades con exploits p�blicamente disponibles en los mismos ataques, incluyendo CVE-2023-38831 en WinRAR y CVE-2021-40444 en Windows MSHTML.

Antecedentes de la explotaci�n de la falla en Outlook

CVE-2023-23397 es una vulnerabilidad cr�tica de elevaci�n de privilegios (EoP) en Outlook en Windows, que Microsoft corrigi� como d�a cero en el Patch Tuesday de marzo de 2023.

La revelaci�n de la falla vino con la revelaci�n de que APT28 la hab�a estado explotando desde abril de 2022 a trav�s de notas de Outlook especialmente dise�adas para robar hashes NTLM, forzando a los dispositivos objetivo a autenticarse en comparticiones SMB controladas por el atacante sin requerir interacci�n del usuario.

Al elevar sus privilegios en el sistema, lo cual se demostr� que era sencillo, APT28 realiz� un movimiento lateral en el entorno de la v�ctima y cambi� los permisos del buz�n de Outlook para llevar a cabo el robo de correos electr�nicos dirigidos.

A pesar de la disponibilidad de actualizaciones de seguridad y recomendaciones de mitigaci�n, la superficie de ataque segu�a siendo significativa, y un bypass de la soluci�n (CVE-2023-29324) que sigui� en mayo empeor� la situaci�n.

En junio, Recorded Future advirti� que APT28 probablemente aprovech� la falla en Outlook contra organizaciones clave de Ucrania.

En octubre, la Agencia de Ciberseguridad de Francia (ANSSI) revel� que los hackers rusos utilizaron el ataque de clic cero contra entidades gubernamentales, empresas, universidades, institutos de investigaci�n y grupos de reflexi�n en Francia.

Ataques a�n en curso

La �ltima advertencia de Microsoft destaca que los hackers del GRU siguen utilizando CVE-2023-38831 en los ataques, lo que significa que a�n hay sistemas vulnerables a la cr�tica falla de EoP.

La empresa tecnol�gica tambi�n ha se�alado el trabajo del Centro de Comando Cibern�tico de Polonia (DKWOC) en ayudar a detectar y detener los ataques. DKWOC tambi�n public� una entrada describiendo la actividad de APT28 que aprovecha CVE-2023-38831.

La acci�n recomendada en este momento, enumerada por prioridad, es la siguiente:

Aplicar las actualizaciones de seguridad disponibles para CVE-2023-23397 y su bypass CVE-2023-29324.
Utilizar el script de Microsoft ubicado en microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/ para verificar si alg�n usuario de Exchange ha sido objetivo.
Restablecer las contrase�as de los usuarios comprometidos y habilitar la autenticaci�n multifactor (MFA) para todos los usuarios.
Limitar el tr�fico SMB bloqueando las conexiones a los puertos 135 y 445 desde todas las direcciones IP entrantes.
Deshabilitar NTLM en su entorno.

Dado que APT28 es un grupo de amenazas altamente ingenioso y adaptable, la estrategia de defensa m�s efectiva es reducir la superficie de ataque en todas las interfaces y asegurarse de que todos los productos de software se actualicen regularmente con los �ltimos parches de seguridad.

Fuente: bleepingcomputer.com