Vulnerabilidad crítica en Microsoft Outlook (CVE-2023-23397)

Microsoft ha reportado una vulnerabilidad crítica presente en Microsoft Outlook (para Windows) con un CVSSv3 de 9.8 y fácil de explotar para un atacante, quien tras explotación de esta podría obtener el hash Net-NTLMv2 del receptor de un correo electrónico y utilizarlo para luego autenticarse como él durante un ataque de retransmisión NTLM.

Lo más preocupante de esta vulnerabilidad es que según reportes de Microsoft, no se requiere interacción alguna por parte de la víctima, dado que esta se podría explotar en cuanto el cliente Outlook reciba y procese el correo (por lo que ni siquiera requiere que el usuario vea el preview del mismo)

Según ha reportado el fabricante, para explotar esta vulnerabilidad, lo único que debe hacer un atacante es enviar un correo electrónico con una propiedad MAPI extendida incluyendo un UNC path a un compartido de red desde un servidor controlado por su parte.

Microsoft ha reportado que esta vulnerabilidad ya está siendo explotada por un grupo de cibercrimen ruso por lo que instan a todos sus clientes a actualizar lo antes posible para prevenir la explotación de la vulnerabilidad.

Mitigación de la vulnerabilidad

Los parches para resolver esta vulnerabilidad de forma definitiva fueron publicados ayer 14 de marzo, y se encuentran disponibles al final del artículo de Microsoft acerca de esta vulnerabilidad. Han confirmado que toda versión de Outlook disponible para Windows previa a este update es vulnerable.

Por otro lado, han informado de mitigaciones que pueden ejecutarse a modo de workaround hasta que se puedan aplicar las actualizaciones:

Opción 1. Añadir usuarios al Security Group "Protected Users", que evita el uso de NTLM como mecanismo de autenticación. (Podría causar impacto sobre aplicaciones que requieren NTLM)

Opción 2. Bloquear TCP 445 (SMB) saliente de la red (puede hacerse via firewall, VPN) para evitar el envío de los mensajes de autenticación NTLM a compartidos en remoto.