Una grave vulnerabilidad de elevación de privilegios (EoP) en Microsoft Outlook, que se reveló y parchó a principios de esta semana en la última actualización del martes de parches de Microsoft, probablemente ha sido explotada por actores de amenazas respaldados por el estado ruso contra objetivos ucranianos durante al menos 12 meses.
John Hultquist, jefe de Google Mandiant Intelligence Analysis, dijo que luego de su divulgación pública, anticipó la adopción amplia y rápida de CVE-2023-23397 por parte de múltiples estados nacionales y actores con motivaciones financieras, probablemente incluidas bandas de ransomware. En los próximos días y semanas, advirtió, estos grupos participarán en una carrera para explotar la vulnerabilidad antes de que se parchee para afianzarse en los sistemas objetivo. Computer Weekly entiende que los exploits de prueba de concepto ya están circulando.
“Esta es una prueba más de que los ataques cibernéticos agresivos, disruptivos y destructivos pueden no permanecer limitados a Ucrania y un recordatorio de que no podemos verlo todo”, dijo. “Si bien la preparación para los ataques no indica necesariamente que sean inminentes, la situación geopolítica debería darnos una pausa.
“Esto también es un recordatorio de que no podemos ver todo lo que sucede con este conflicto. Estos son espías y tienen un largo historial de evadir con éxito nuestro aviso”, dijo Hultquist. “Este será un evento de propagación. Esta es una herramienta excelente tanto para los actores del estado-nación como para los delincuentes que vivirán una bonanza a corto plazo. La carrera ya ha comenzado”.
La explotación de CVE-2023-23397 comienza con el envío de un correo electrónico especialmente diseñado a la víctima, pero debido a que se activa en el lado del servidor, puede explotarse antes de que se abra y vea el correo electrónico.
Este correo electrónico se habrá diseñado con una propiedad de interfaz de programación de aplicaciones de mensajería extendida que contiene una ruta de convención de nomenclatura universal al recurso compartido del bloque de mensajes del servidor (SMB) en un servidor que controla el atacante.
Cuando se recibe este correo electrónico, se abre una conexión con el recurso compartido SMB del atacante y el protocolo de autenticación de Windows New Technology LAN Manager de la víctima envía un mensaje de negociación. Esto, a su vez, puede ser visto y utilizado por el atacante para descubrir el hash Net-NTLMv2 de la víctima, extraerlo y transmitirlo a otros sistemas en el entorno de la víctima, autenticándolos como el usuario comprometido sin necesidad de estar en posesión de sus credenciales. .
De esta manera, el atacante no solo gana un punto de apoyo en su entorno objetivo, sino que también puede comenzar un movimiento lateral. Mandiant la considera una vulnerabilidad de alto riesgo debido a que puede usarse para elevar los privilegios sin la interacción del usuario.
Fue descubierto por el Equipo Nacional de Respuesta a Emergencias Informáticas (CERT) de Ucrania, CERT-UA, junto con investigadores de Microsoft, y según Mandiant, ha sido ampliamente explotado por Rusia en el último año para apuntar a organizaciones e infraestructura crítica en Ucrania, en el servicio de recolección de inteligencia y ataques disruptivos y destructivos al país.
Mandiant también ha sido utilizado en ataques contra objetivos en los sectores de defensa, gobierno, petróleo y gas, logística y transporte en Polonia, Rumania y Turquía.
El equipo de investigación de Mandiant ha creado una nueva designación, UNC4697, para rastrear la explotación del día cero, que se atribuye ampliamente a APT28, un grupo de amenazas persistentes avanzado respaldado por la agencia de inteligencia GRU de Rusia, también conocido como Fancy Bear o Strontium. Este es un actor de amenazas de alto perfil previamente implicado en los ataques rusos contra el Comité Olímpico Internacional y las elecciones presidenciales de EE. UU. de 2016 y 2020. Trabaja con frecuencia con el actor GRU Sandworm.