Logotipo de Zephyrnet

Inteligencia de datos generativa

Ciberseguridad

Microsoft corrige dos días 0 en el martes de parches: ¡actualice ahora!

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 177
by Paul patito

Gracias a la duración precisa de cuatro semanas de febrero de este año, la coincidencia del mes pasado de las actualizaciones de Firefox y Microsoft ha vuelto a ocurrir.

El mes pasado, Microsoft se ocupó de tres días cero, con lo que nos referimos a los agujeros de seguridad que los ciberdelincuentes encontraron primero y descubrieron cómo abusar en los ataques de la vida real antes de que los parches estuvieran disponibles.

(El nombre día cero, O simplemente 0-día, es un recordatorio del hecho de que incluso los parcheadores más progresistas y proactivos disfrutaron precisamente de cero días durante los cuales podríamos haber estado por delante de los ladrones).

En marzo de 2023, hay dos arreglos de día cero, uno en Outlook, y el otro en Windows SmartScreen.

Curiosamente para un error que se descubrió en la naturaleza, aunque Microsoft lo informó de manera bastante suave como Explotación detectada, la falla de Outlook se atribuye conjuntamente a CERT-UA (el Equipo de Respuesta a Emergencias Informáticas de Ucrania), Microsoft Incident Response y Microsoft Threat Intelligence.

Puedes hacer de eso lo que quieras.

EoP de Outlook

Este error, apodado CVE-2023-23397: Vulnerabilidad de elevación de privilegios de Microsoft Outlook (EoP), es descrito como sigue:

Un atacante que aprovechara con éxito esta vulnerabilidad podría acceder al hash Net-NTLMv2 de un usuario, que podría utilizarse como base de un ataque de retransmisión NTLM contra otro servicio para autenticarse como usuario. […]

El atacante podría aprovechar esta vulnerabilidad enviando un correo electrónico especialmente diseñado que se activa automáticamente cuando el cliente de Outlook lo recupera y lo procesa. Esto podría conducir a la explotación ANTES de que el correo electrónico se vea en el Panel de vista previa. […]

Los atacantes externos podrían enviar correos electrónicos especialmente diseñados que provocarán una conexión de la víctima a una ubicación UNC externa del control de los atacantes. Esto filtrará el hash Net-NTLMv2 de la víctima al atacante, quien luego puede transmitirlo a otro servicio y autenticarse como víctima.

Para explicar (hasta donde podemos adivinar, dado que no tenemos detalles sobre el ataque a seguir).

La autenticación Net-NTLMv2, que llamaremos NTLM2 para abreviar, funciona más o menos así:

  • La ubicación a la que te estás conectando envía más de 8 bytes aleatorios conocido como un Reto.
  • Tu computadora genera sus propios 8 bytes aleatorios.
  • Usted calcular un hash con clave HMAC-MD5 de las dos cadenas de desafío utilizando un hash existente almacenado de forma segura de su contraseña como clave.
  • Usted envía el hash tecleado y tu desafío de 8 bytes.
  • El otro extremo ahora tiene desafíos de 8 bytes y su respuesta única, por lo que puede vuelva a calcular el hash ingresado y verifique su respuesta.

En realidad, hay algo más que eso, porque en realidad hay dos hashes con clave, uno que combina los dos números de desafío aleatorio de 8 bytes y el otro que combina datos adicionales, incluido su nombre de usuario, nombre de dominio y la hora actual.

Pero el principio subyacente es el mismo.

Ni su contraseña real ni el hash almacenado de su contraseña (por ejemplo, de Active Directory) nunca se transmiten, por lo que no se pueden filtrar en tránsito.

Además, ambas partes pueden inyectar 8 bytes de su propia aleatoriedad cada vez, lo que evita que cualquiera de las partes reutilice furtivamente una cadena de desafío anterior con la esperanza de terminar con el mismo hash ingresado que en una sesión anterior.

(Agregar la hora y otros datos específicos de inicio de sesión agrega protección adicional contra los llamados ataques de repetición, pero ignoraremos esos detalles aquí).

sentado en el medio

Como puede imaginar, dado que el atacante puede engañarlo para que intente "iniciar sesión" en su servidor falso (ya sea cuando lea el correo electrónico con trampa explosiva o, peor aún, cuando Outlook comience a procesarlo en su nombre, incluso antes de que reciba un vislumbrar lo falso que podría parecer), terminas filtrando una única respuesta NTLM2 válida.

Esa respuesta está destinada a demostrar al otro extremo no solo que realmente conoce la contraseña de la cuenta que afirma que es suya, sino también (debido a los datos de desafío mezclados) que no solo está reutilizando una respuesta anterior .

Entonces, como advierte Microsoft, un atacante que puede cronometrar las cosas correctamente podría comenzar a autenticarse en un servidor genuino como usted, sin saber su contraseña o su hash, solo para obtener un desafío inicial de 8 bytes del servidor real...

… y luego devolverle ese desafío en el momento en que lo engañen para que intente iniciar sesión en su servidor falso.

Si luego calcula el hash ingresado y lo envía de regreso como su "prueba de que sé mi propia contraseña en este momento", los delincuentes podrían transmitir esa respuesta calculada correctamente al servidor genuino en el que intentan infiltrarse, y así para engañar a ese servidor para que los acepte como si fueran usted.

En resumen, definitivamente desea parchear este, porque incluso si el ataque requiere muchos intentos, tiempo y suerte, y no es muy probable que funcione, ya sabemos que es un caso de “Explotación detectada”.

En otras palabras, se puede hacer que el ataque funcione y ha tenido éxito al menos una vez contra una víctima desprevenida que no hizo nada arriesgado o incorrecto.

Omisión de seguridad SmartScreen

El segundo día cero es CVE-2023-24880, y este bastante describe en sí: Vulnerabilidad de omisión de la característica de seguridad de Windows SmartScreen.

En pocas palabras, Windows generalmente etiqueta los archivos que llegan a través de Internet con una bandera que dice: “Este archivo vino de afuera; trátelo con guantes de seda y no confíe demasiado en él”.

Este indicador de dónde se originó solía conocerse como el indicador de un archivo. Zona Internet identificador, y le recuerda a Windows cuánta (o qué poca) confianza debe poner en el contenido de ese archivo cuando se usa posteriormente.

En estos días, el ID de zona (por si sirve de algo, una identificación de 3 denota "de Internet") generalmente se conoce con el nombre más dramático y memorable Marca de la webo MotW para abreviar.

Técnicamente, esta ID de zona se almacena junto con el archivo en lo que se conoce como un Flujo de datos alternativoo ADS, pero los archivos solo pueden tener datos ADS si están almacenados en discos de Windows con formato NTFS. Si guarda un archivo en un volumen FAT, por ejemplo, o lo copia en una unidad que no sea NTFS, la ID de zona se pierde, por lo que esta etiqueta de protección es algo limitada.

Este error significa que algunos archivos que llegan desde el exterior, por ejemplo, descargas o archivos adjuntos de correo electrónico, no se etiquetan con el identificador MotW correcto, por lo que eluden furtivamente los controles de seguridad oficiales de Microsoft.

Microsoft boletín público no dice exactamente qué tipos de archivos (¿imágenes? ¿Documentos de Office? ¿PDF? ¿Todos ellos?) pueden infiltrarse en su red de esta manera, pero advierte ampliamente que “características de seguridad como Vista protegida en Microsoft Office” se puede evitar con este truco.

Suponemos que esto significa que los archivos maliciosos que normalmente se volverían inofensivos, por ejemplo, al suprimir el código de macro incorporado, podrían cobrar vida inesperadamente cuando se ven o se abren.

Una vez más, la actualización lo pondrá a la par con los atacantes, por lo que No se demore/parchelo hoy.

¿Qué hacer?

  • Parche tan pronto como pueda, como acabamos de decir arriba.
  • Lea el artículo completo Análisis de SophosLabs de estos errores y más de 70 otros parches, por si aún no estás convencido.
punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.