Recientemente, Microsoft solucionó una vulnerabilidad de seguridad en Outlook que permitía a terceros acceder a las contraseñas con hash de NT LAN Manager (NTLM) v2 al abrir un archivo diseñado específicamente. El parche para resolver la vulnerabilidad CVE-2023-35636 fue incluido en las actualizaciones de diciembre de 2023, durante el «Patch Tuesday».
En un escenario de ataque de correo electrónico, un atacante podría aprovechar esta falla enviando un archivo creado especialmente al usuario y persuadirlo para que lo abra, permitiendo que se expongan los hashes NTLM. Además, la vulnerabilidad también podría aprovecharse en una página web comprometida donde se incluya contenido proporcionado por los usuarios.
Para lograr el ataque, el atacante necesita que los usuarios sigan un enlace en un correo electrónico de phishing o en un mensaje instantáneo y que abran el archivo malicioso.
La vulnerabilidad CVE-2023-35636 se basa en la función de intercambio de calendarios en la aplicación Outlook, donde se crea un correo malicioso con los encabezados «Content-Class» y «x-sharing-config-url» con valores manipulados para exponer el hash NTLM del usuario durante la autenticación.
El investigador de seguridad de Varonis, Dolev Taler, reportó la vulnerabilidad y explicó que los hashes NTLM pueden filtrarse a través de Windows Performance Analyzer (WPA) y Windows File Explorer. Aunque estos dos métodos de ataque aún no han sido parcheados.
Taler también menciona que WPA intenta autenticar a través de NTLM v2 a través de la web abierta, lo que hace que sea vulnerable a ataques de relé y ataques de fuerza bruta fuera de línea.
Esta vulnerabilidad viene en paralelo con un caso de «autenticación forzada» reportado por Check Point, que podría usarse para filtrar tokens NTLM de un usuario de Windows.
Hay que destacar que en octubre de 2023, Microsoft anunció planes para eliminar NTLM de Windows 11 en favor de Kerberos para mejorar la seguridad, ya que este método de autenticación no es compatible con métodos criptográficos y es susceptible a ataques de relé. Esta noticia muestra la importancia de mantenerse actualizado y estar al tanto de las vulnerabilidades de seguridad actuales para garantizar la protección de los usuarios y la información confidencial.
