Microsoft alerta sobre exploração de dia zero no Outlook

Patch Tuesday adverte que a vulnerabilidade pode levar à exploração antes que um e-mail seja exibido no painel de visualização
Da Redação
14/03/2023

A Microsoft entregou nesta terça-feira, 14, um grande lote de atualizações de segurança de software e emitiu alerta de dia zero já explorado para usuários do sistema operacional Windows. A gigante do software lançou correções para ao menos 80 falhas do Windows e chamou atenção especial para o CVE-2023-23397, um problema de gravidade crítica no Outlook que foi explorado em ataques de dia zero.

Como se tornou habitual, o centro de resposta de segurança da Microsoft não forneceu detalhes ou indicadores de comprometimento (IOCs) para ajudar os profissionais de segurança a procurar sinais de comprometimento.

A empresa atribui a descoberta ao  Centro de Estudos para Resposta e Tratamento de Incidentes  (CERT) ucraniano e à sua própria equipe do Centro de Inteligência de Ameaças (MSTIC), sugerindo que a falha estava sendo explorada em ataques APT avançados na Europa.

“Um invasor que explorou com sucesso essa vulnerabilidade pode acessar o hash Net-NTLMv2 de um usuário, que pode ser usado como base para um ataque NTLM Relay contra outro serviço para autenticar como o usuário”, disse a Microsoft em um boletim básico que documenta o bug.

A empresa disse que um invasor pode explorar essa vulnerabilidade enviando um e-mail especialmente criado que é acionado automaticamente quando é recuperado e processado pelo servidor de e-mail.

“Isso pode levar à exploração antes de o e-mail ser visualizado no painel de visualização”, acrescentou a empresa, observando que invasores externos podem enviar e-mails especialmente criados que causarão uma conexão da vítima a um local UNC externo sob controle dos invasores. “Isso vai vazar o hash Net-NTLMv2 da vítima para o invasor, que pode retransmitir isso para outro serviço e se autenticar como a vítima.”

A Microsoft também sinalizou uma segunda vulnerabilidade — CVE-2023-24880 — para atenção urgente e alertou que os invasores continuam ignorando ativamente seu recurso de segurança SmartScreen.

A empresa tem lutado para conter os invasores ignorando a tecnologia SmartScreen que foi instalada no Microsoft Edge e no sistema operacional Windows para ajudar a proteger os usuários contra downloads de malware de engenharia social e phishing. Os operadores do ransomware Magniber foram observados explorando a técnica de desvio do SmartScreen, gerando várias tentativas da Microsoft para mitigar o problema.

Veja isso
Até US$ 400 mil em zero days de Outlook e Thunderbird
Trojan bancário Qbot agora sequestra ‘threads’ de e-mail do Outlook

Paralelamente, a fabricante de software Adobe também emitiu um alerta urgente sobre “ataques muito limitados” explorando uma vulnerabilidade de dia zero em sua plataforma de desenvolvimento de aplicativos da web Adobe ColdFusion.

O aviso da Adobe foi incorporado em um comunicado de nível de gravidade crítica que contém patches para as versões 2021 e 2018 do ColdFusion. “A Adobe está ciente de que o CVE-2023-26360 foi explorado em estado selvagem em ataques muito limitados direcionados ao Adobe ColdFusion”, disse a empresa. Nenhum outro detalhe sobre os compromissos in-the-wild foi fornecido.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)