Publicado el por Seguridad CSIRT-CV

Vulnerabilidad en Microsoft que expone los hashes de NTLM

Análisis

La vulnerabilidad ha sido Identificada como CVE-2024-38200, esto es causada por una debilidad de divulgación de información que permite a actores no autorizados acceder a información protegida. Si bien la evaluación de explotabilidad de Microsoft dice que la explotación de CVE-2024-38200 es menos probable, MITRE ha etiquetado la probabilidad de explotación de este tipo de debilidad como altamente probable.

Se espera que se envíe un parche formal para corregir dicha vulnerabilidad mañana dia 13 de agosto como parte de sus actualizaciones mensuales de los martes, aun así también indicaron que identificaron una solución alternativa que habilitaron a través de Feature Flighting a partir del 30 de julio de 2024.

Por ultimo, han señalado que si bien los clientes ya están protegidos en todas las versiones con soporte de Microsoft Office y Microsoft 365, es esencial actualizar a la versión final del parche a partir del dia 13.

Recursos afectados

    • Versiones de Office de 32 y 64 bits, incluidas Office 2016, Office 2019, Office LTSC 2021 y Microsoft 365 Apps for Enterprise.

Recomendaciones

Microsoft ha indicado como medida de mitigacion se puede bloquear el tráfico NTLM saliente utilizando los siguientes tres métodos:

    • Configuración de la política de grupo Seguridad de red: Restringir NTLM: Tráfico NTLM saliente a servidores remotos para permitir, bloquear o auditar el tráfico NTLM saliente desde un equipo con Windows 7, Windows Server 2008 o posterior a cualquier servidor remoto que ejecute el sistema operativo Windows. En este caso, conviene utilizar la política para bloquear el tráfico NTLM.
    • Agregar usuarios al grupo de seguridad de usuarios protegidos , que restringe el uso de NTLM como mecanismo de autenticación.
    • Bloqueando todo el tráfico saliente al puerto TCP 445.

Pero advierte que utilizar cualquiera de estas mitigaciones podría impedir el acceso legítimo a servidores remotos que dependen de la autenticación NTLM.

Referencias

    • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38200
    • https://thehackernews.com/2024/08/microsoft-warns-of-unpatched-office.html
    • https://www.bleepingcomputer.com/news/security/microsoft-discloses-unpatched-office-flaw-that-exposes-ntlm-hashes/