esenfrdeitptru

Investigadores descubren cómo la vulnerabilidad de Outlook podría filtrar contraseñas NTLM

AS-13-2024

Fecha: 30/Ene/2024

Resumen:

Una falla de seguridad que ya cuenta con el parche de Microsoft Outlook podría ser explotada por actores maliciosos para acceder a las contraseñas hash de NT LAN Manager (NTLM) v2, al abrir un archivo especialmente diseñado. El problema, rastreado como CVE-2023-35636 (puntuación CVSS: 6.5), fue abordado por el gigante tecnológico como parte de sus actualizaciones del martes de parches para diciembre de 2023. En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando el archivo especialmente diseñado al usuario y convenciéndolo de que abra el archivo, dijo Microsoft en un aviso publicado en diciembre.

Por lo general, se debe utilizar NTLM v2 al intentar autenticarse en servicios internos basados en direcciones IP. Sin embargo, cuando el hash NTLM v2 pasa a través de Internet abierto, es vulnerable a ataques de retransmisión y de fuerza bruta fuera de línea.

La divulgación se produce cuando Check Point reveló un caso de "autenticación forzada" que podría usarse como arma para filtrar los tokens NTLM de un usuario de Windows engañando a la víctima para que abra un archivo falso de Microsoft Access.

Microsoft, en octubre de 2023, anunció planes para descontinuar NTLM en Windows 11 en favor de Kerberos, con el propósito de mejorar la seguridad debido a que no admite métodos criptográficos y es susceptible a ataques de retransmisión.

Las nuevas funciones para Windows 11 incluyen autenticación inicial y de paso mediante Kerberos (IAKerb) y un centro de distribución de claves local ( KDC ) para Kerberos.

Microsoft dijo que también está trabajando para abordar las instancias NTLM codificadas en sus componentes en preparación para el cambio que finalmente deshabilitará NTLM en Windows 11, y agregó que está realizando mejoras que fomentan el uso de Kerberos en lugar de NTLM.

Todos estos cambios estarán habilitados de forma predeterminada y no requerirán configuración para la mayoría de los escenarios, dijo Matthew Palko, líder senior de gestión de productos de Microsoft. NTLM seguirá estando disponible como alternativa para mantener la compatibilidad existente.

Recomendación:

Campaña de concientización para que los usuarios de la comunidad no hagan click en enlaces sospechosos.

Mantener actualizados los parches de seguridad de Microsoft.

Referencia:

https://thehackernews.com/2024/01/researchers-uncover-outlook.html

Tlp Clear 2023