Marcos Souza 
Surgiram detalhes técnicos sobre duas falhas de segurança agora corrigidas no Microsoft Windows que poderiam ser encadeadas por agentes de ameaças para obter a execução remota de código no serviço de e-mail Outlook sem qualquer interação do usuário.
“Um invasor na Internet pode encadear as vulnerabilidades para criar uma exploração completa de execução remota de código (RCE) com zero clique contra clientes do Outlook”, disse o pesquisador de segurança da Akamai, Ben Barnea, que descobriu as vulnerabilidades, em um relatório de duas partes compartilhado. Parte 1 e parte 2.
Os problemas de segurança, que foram resolvidos pela Microsoft em agosto e outubro de 2023, respectivamente, estão listados abaixo:
- CVE-2023-35384 (CVSS score: 5.4) – Windows HTML Platforms Security Feature Bypass Vulnerability
- CVE-2023-36710 (CVSS score: 7.8) – Windows Media Foundation Core Remote Code Execution Vulnerability
CVE-2023-35384
O CVE-2023-35384 foi descrito pela Akamai como um bypass para uma falha de segurança crítica que a Microsoft corrigiu em março de 2023. Rastreada como CVE-2023-23397 (pontuação CVSS: 9,8), a falha está relacionada a um caso de escalonamento de privilégios que pode resultar no roubo de credenciais NTLM e permitir que um invasor realize um ataque de retransmissão.
No início deste mês, a Microsoft, a Proofpoint e a Palo Alto Networks Unit 42 revelaram que um agente de ameaças russo conhecido como APT28 (também conhecido como Forest Blizzard) tem utilizado ativamente a falha para obter acesso não autorizado às contas das vítimas nos servidores Exchange.
É importante observar que o CVE-2023-35384 é também o segundo desvio de patch após o CVE-2023-29324, que também foi descoberto por Barnea e posteriormente corrigido por Redmond como parte das atualizações de segurança de maio de 2023.
“Encontramos outro desvio para a vulnerabilidade original do Outlook – um desvio que mais uma vez nos permitiu coagir o cliente a se conectar a um servidor controlado por um invasor e baixar um arquivo de som malicioso”, disse Barnea.
O CVE-2023-35384, assim como o CVE-2023-29324, está enraizado na análise de um caminho pela função MapUrlToZone, que pode ser explorada com o envio de um e-mail contendo um arquivo malicioso ou um URL para um cliente Outlook.
CVE-2023-36710
“Existe uma vulnerabilidade de desvio de recurso de segurança quando a plataforma MSHTML não consegue validar a Zona de Segurança correta das solicitações de URLs específicos. Isso pode permitir que um invasor faça com que um usuário acesse um URL em uma Zona de Segurança da Internet menos restrita do que a pretendida”, observou a Microsoft em seu comunicado.
Ao fazer isso, a vulnerabilidade não só pode ser usada para vazar credenciais NTLM, mas também pode ser encadeada com a falha de análise de som (CVE-2023-36710) para baixar um arquivo de som personalizado que, quando reproduzido automaticamente usando o recurso de som de lembrete do Outlook, pode levar a uma execução de código de clique zero na máquina da vítima.
O CVE-2023-36710 afeta o componente Audio Compression Manager (ACM), uma estrutura multimídia legada do Windows que é usada para gerenciar codecs de áudio, e é o resultado de uma vulnerabilidade de estouro de inteiro que ocorre ao reproduzir um arquivo WAV.
“Por fim, conseguimos acionar a vulnerabilidade usando o codec IMA ADP”, explicou Barnea. “O tamanho do arquivo é de aproximadamente 1,8 GB. Ao realizar a operação de limite matemático no cálculo, podemos concluir que o menor tamanho de arquivo possível com o codec IMA ADP é de 1 GB.”
Para atenuar os riscos, recomenda-se que as organizações usem a microssegmentação para bloquear as conexões SMB de saída para endereços IP públicos remotos. Além disso, também é aconselhável desativar o NTLM ou adicionar usuários ao grupo de segurança Usuários Protegidos, que impede o uso do NTLM como mecanismo de autenticação.
