Vulnerabilidade do Microsoft Outlook (9.8)
No Patch de terça-feira de 14 de março de 2023, a Microsoft lançou diversas correções, incluindo uma correção para a CVE-2023-23397, uma vulnerabilidade crítica de elevação de privilégio do Microsoft Outlook. A vulnerabilidade tem uma pontuação geral de 9,8 na escala CVSS, o que significa que é altamente crítica.
Microsoft Outlook Vulnerability (9.8)
No Patch de terça-feira de 14 de março de 2023, a Microsoft lançou diversas correções, incluindo uma correção para a CVE-2023-23397, uma vulnerabilidade crítica de elevação de privilégio do Microsoft Outlook. A vulnerabilidade tem uma pontuação geral de 9,8 na escala CVSS, o que significa que é altamente crítica.
A CVE-2023-23397 é de baixa complexidade no ataque, não requer privilégios e não precisa interagir com o usuário. Se um invasor explorar a vulnerabilidade, ele pode acessar o hash Net-NTLMv2 do usuário e comprometer a confidencialidade, integridade e disponibilidade dos dados do usuário.
O painel de visualização do Microsoft Outlook é um vetor de ataque para essa vulnerabilidade. A vulnerabilidade pode ser explorada enviando um e-mail especialmente criado que é acionado automaticamente quando é recuperado e processado pelo cliente Outlook. Isso causa uma conexão da vítima com um local UNC externo sob controle do invasor, que vaza a hash Net-NTLMv2 da vítima para o invasor e poderá retransmiti-lo para outro serviço e autenticar como a vítima, antes mesmo de o e-mail ser visualizado no Painel de Visualização.
Felizmente, a Microsoft já lançou uma atualização para corrigir a situação e também disponibilizou algumas formas de mitigação no site oficial. Essas formas de mitigação incluem adicionar usuários ao grupo de segurança de usuários protegidos e bloquear a saída TCP 445/SMB de sua rede usando um firewall de perímetro e um firewall local, bem como por meio de suas configurações de VPN, para impedir o envio de mensagens de autenticação NTLM para compartilhamento de arquivos remotos.
Além da CVE-2023-23397, a Microsoft também destacou outra vulnerabilidade de gravidade moderada e pontuação 5.4 na escala CVSS, a CVE-2023-24880. Essa vulnerabilidade de desvio de recursos de segurança do Windows SmartScreen gera perda de integridade e disponibilidade. Se explorada, ela pode gerar um arquivo mal-intencionado que evitaria as defesas da marca da Web (MOTW) e perderia recursos de segurança, como o modo de exibição protegido no Microsoft Office, que depende do MOTW.
Eduardo Kovacs, em seu artigo no site securityweek.com, afirma que essa vulnerabilidade tem sido explorada para distribuir o Ransomware Magniber e tem sido usada desde pelo menos janeiro de 2023.
A Microsoft também lançou uma atualização para corrigir essa vulnerabilidade e, sugeriu que os usuários usem um aplicativo antivírus que possa detectar e bloquear o ransomware Magniber, que tem sido usado para explorar essa vulnerabilidade. Além disso, é importante ter cuidado ao baixar arquivos da Internet e garantir que eles sejam de fontes confiáveis.
Em resumo, a vulnerabilidade CVE-2023-23397 é uma ameaça crítica que pode permitir que um invasor execute um ataque de elevação de privilégio no Microsoft Outlook, comprometendo a confidencialidade, integridade e disponibilidade dos dados da vítima. Felizmente, a Microsoft já lançou uma atualização para corrigir a vulnerabilidade e forneceu algumas medidas de mitigação para proteger os usuários que ainda não aplicaram a atualização.
Além disso, a CVE-2023-24880, mesmo sendo considerada uma ameaça moderada, não deve ser subestimada, já que tem sido usada para distribuir ransomware e comprometer a integridade e disponibilidade dos dados do usuário.
Essas vulnerabilidades destacam a importância da cibersegurança e da atualização constante de sistemas e softwares para proteger contra possíveis ataques. É fundamental que as empresas, organizações e usuários individuais estejam sempre cientes dos riscos de segurança cibernética e tomem medidas proativas para garantir a segurança de seus dados e informações. A cibersegurança é um esforço contínuo e deve ser prioridade para todos os usuários da tecnologia.
Fontes:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24880 https://www.securityweek.com/microsoft-patch-tuesday-zero-day-attacks/amp/ https://www.securityweek.com/microsoft-smartscreen-zero-day-exploited-to-deliver-magniber-ransomware/