Una vulnerabilidad en Outlook, rastreada como CVE-2023-23397 permitiría a un atacante eludir protecciones de integridad y forzar a un cliente de Outlook conectarse al servidor del atacante. Esta vulnerabilidad puede ser explotada de manera remota a través de la internet sin la necesidad de interacción alguna del usuario.
CVE-2023-29324 es una manera de eludir una corrección que Microsoft realizo en marzo de 2023 para contrarrestar CVE-2023-23397, un fallo crítico de escalada de privilegios en Outlook que, según la compañía, ha sido explotado por actores de amenazas rusos en ataques dirigidos a entidades europeas desde abril de 2022.
Esta vulnerabilidad, que fuera parchada en marzo, afecta directamente al servicio de Outlook y es activada cuando un atacante envía un email que contiene un recordatorio con sonido de notificación personalizado. Este sonido es especificado como una ruta, por el atacante, por medio del uso de la propiedad MAPI ampliada (PidLidReminderFileParameter). Un atacante puede especificar una ruta UNC lo que causaría que el cliente recuperar el archivo del sonido desde un servidor SMB. Como parte de esta conexión el hash Net-NTLMv2 es enviado en un mensaje de negociación.
Según un informe, todas las versiones de Windows se verían afectadas, lo que significaría que todas las versiones de cliente de Outlook en Windows son explotables. Sin embargo, según Microsoft, los servidores Exchange con la actualización de marzo omiten la característica vulnerable, evitando así que los clientes vulnerables puedan ser explotados. Esta vulnerabilidad permite a un atacante no autenticado en Internet coaccionar a un cliente de Outlook a conectarse a un servidor controlado por el atacante lo que resulta en el robo de credenciales NTLM. Al ser una vulnerabilidad zero-click, puede activarse sin interacción del usuario.
El atacante puede eludir la mitigación de CVE-2023-23397 a través de llamar dos funciones importantes como parte de la carga del archivo de sonido personalizado:
- MapUrlToZone: devuelve la zona de la URL; se utiliza para determinar si la ruta es local, de intranet o de confianza.
- CreateFile – Abre un manejador para el archivo de sonido.
Para eludir, se necesita encontrar una ruta que MapUrlToZone consideraría como local, intranet, o una zona de confianza, y que CreateFile también trataría como un dominio de internet. A su vez, para llamar a MapUrlToZone, podemos utilizar el siguiente script PowerShell que invoca la función a través de Component Object Model (COM).
Según el informe, el problema se debe a la compleja gestión de las rutas en Windows, lo que permite a un agente de amenazas crear una URL maliciosa que pueda eludir las comprobaciones de la zona de seguridad de Internet.
A su vez, el informe señalaba que esta vulnerabilidad es un ejemplo más de que el escrutinio de los parches conduce a nuevas vulnerabilidades y desviaciones. Como medida de mitigación, Microsoft recomienda además a los usuarios que instalen las actualizaciones acumulativas de Internet Explorer para solucionar las vulnerabilidades de la plataforma MSHTML y del motor de scripting.
