Microsoft ha revelado una vulnerabilidad de día cero, actualmente sin parches, en Office que resulta en la divulgación no autorizada de información confidencial. El error también se presentó en Def Con .
CVE-2024-38200 (Puntuación CVSS: 7,5) se debe a una falla de divulgación de información que podría permitir que una persona no autorizada acceda a datos protegidos. La falla afecta a las siguientes versiones de Office:
- Microsoft Office 2016 para sistemas de 32 y 64 bits;
- Microsoft Office LTSC 2021 para sistemas de 32 y 64 bits;
- Aplicaciones Microsoft 365 para empresas para sistemas de 32 y 64 bits;
- Microsoft Office 2019 para sistemas de 32 y 64 bits.
Según Microsoft , el error podría utilizarse para obtener acceso a datos confidenciales. En un escenario de ataque, un atacante podría alojar un sitio web (o utilizar un sitio web comprometido) que contenga un archivo especialmente diseñado para aprovechar la vulnerabilidad.
Sin embargo, para implementar el ataque, es necesario que el propio usuario abra dicho archivo siguiendo un enlace enviado por correo electrónico o mediante mensajería instantánea. Aunque un atacante no puede obligar a un usuario a visitar un sitio peligroso, la probabilidad de que el ataque tenga éxito sigue siendo alta si el usuario no es lo suficientemente cuidadoso.
Microsoft planea lanzar una solución oficial como parte de las actualizaciones del martes de parches el 13 de agosto de 2024. Sin embargo, la compañía ya tomó medidas de protección temporales al lanzar una solución alternativa a través de Feature Flighting el 30 de julio. Sin embargo, se recomienda encarecidamente a los usuarios que actualicen el software a la última versión para garantizar la máxima protección.
La empresa también propuso tres estrategias de mitigación de riesgos:
- Configurar la política “Seguridad de red: Restringir NTLM: tráfico NTLM saliente a servidores remotos”, que le permite controlar el tráfico NTLM saliente desde computadoras que ejecutan Windows.
- Agregar usuarios al grupo de seguridad de usuarios protegidos, lo que impide el uso de NTLM como mecanismo de autenticación.
- Bloquee el tráfico TCP 445/SMB saliente utilizando el firewall perimetral, el firewall local y la configuración de VPN para evitar que se envíen mensajes de autenticación NTLM a recursos compartidos de archivos remotos.
Si bien Microsoft no proporcionó detalles adicionales sobre el error, la alerta indica que la vulnerabilidad podría explotarse para forzar una conexión NTLM saliente, por ejemplo, a un recurso compartido SMB en el servidor de un atacante. Cuando esto sucede, Windows envía los hashes NTLM del usuario, incluida su contraseña hash, que luego puede ser robada por un ciberdelincuente.
A principios de junio, Elastic Security Labs identificó un nuevo método para piratear Windows llamado GrimResource, que implica el uso de archivos MSC (Microsoft Saved Console) especialmente diseñados en combinación con una vulnerabilidad XSS sin parches en Windows para ejecutar código a través de Microsoft Management Console (MMC).
Y si necesitáis una auditoría de ciberseguridad y podemos seros útiles, estamos a vuestra disposición en nuestro correo [email protected]
Deja una respuesta