Una amenaza reciente a la seguridad cibernética ha puesto en riesgo a millones de organizaciones debido a un problema crítico de Microsoft Outlook para Windows vulnerabilidad. Esta vulnerabilidad, CVE-2023-23397, permite a los piratas informáticos robar contraseñas codificadas mediante correo electrónico de forma remota. Esto pone a las empresas en peligro de que sus sistemas y datos confidenciales se vean comprometidos, lo que genera pérdidas financieras, daños a la reputación y responsabilidades legales.
En respuesta a esta amenaza, Microsoft ha lanzado un PowerShell secuencia de comandos que los administradores pueden usar para verificar si algún usuario en su entorno de Exchange se ha visto afectado por esta vulnerabilidad de Outlook. Este script puede ayudar a identificar elementos maliciosos y permitir que los administradores los purguen o eliminen de forma permanente. El script también puede modificar o eliminar mensajes potencialmente dañinos en un servidor de Exchange confiable.
Sin embargo, esta vulnerabilidad no es fácil de detectar e incluso con el script de PowerShell, las organizaciones aún están en riesgo. Dominic Chell, miembro del equipo rojo en MDSec, descubrió que es fácil para los piratas informáticos explotar este error y robar hashes NTLM usando un calendario en Microsoft Outlook. Chell descubrió que al usar”PidLidReminderFileParameter” dentro de los elementos de correo recibidos, un hacker puede agregar una ruta UNC para activar la autenticación NTLM y robar los hashes NTLM.
Los hashes NTLM robados se pueden usar para realizar ataques de retransmisión NTLM, dando acceso a los hackers a las redes corporativas. Los atacantes también pueden recopilar hashes y autenticarse en una dirección IP fuera de la zona de la intranet o de los sitios de confianza mediante tareas, notas o correos electrónicos de Microsoft Outlook.
Para proteger a su organización de esta amenaza, es crucial aplicar de inmediato las corrija la vulnerabilidad, agregue usuarios al grupo de Usuarios protegidos en Active Directory y bloquee SMB saliente (puerto TCP 445) como medida temporal para minimizar el impacto de los ataques.
Las organizaciones también deben educar a los empleados sobre identificar correos electrónicos de phishing y otros mensajes sospechosos. Esto incluye buscar enlaces extraños, archivos adjuntos o solicitudes de información confidencial. Es esencial asegurarse de que todo el software y los sistemas se actualicen regularmente con los últimos parches de seguridad.
Las organizaciones deben tomar medidas proactivas para protegerse de esta amenaza, incluida la implementación de las soluciones recomendadas por Microsoft y la formación de sus empleados. Las empresas pueden evitar convertirse en víctimas de esta vulnerabilidad y proteger sus datos y sistemas confidenciales permaneciendo alerta y adoptando los pasos necesarios.