Vulnerabilitat en Microsoft que exposa els hashes d’NTLM

Anàlisi

La vulnerabilitat ha sigut identificada com a CVE-2024-38200; això és, causada per una debilitat de divulgació d’informació que permet que actors no autoritzats accedisquen a informació protegida. Si bé l’avaluació d’explotabilitat de Microsoft diu que l’explotació de CVE-2024-38200 és menys probable, MITRE ha etiquetat la probabilitat d’explotació d’esta classe de debilitat d’altament probable.

S’espera que s’envie un pedaç formal per a corregir esta vulnerabilitat demà dia 13 d’agost com a part de les seues actualitzacions mensuals dels dimarts, així i tot també han indicat que han identificat una solució alternativa que han habilitat a través de Feature Flighting a partir del 30 de juliol de 2024.

Finalment, han assenyalat que si bé els clients ja estan protegits en totes les versions amb suport de Microsoft Office i Microsoft 365, és essencial actualitzar a la versió final del pedaç a partir del dia 13.

Recursos afectats

    • Versions d’Office de 32 i 64 bits, incloses Office 2016, Office 2019, Office LTSC 2021 i Microsoft 365 Apps for Enterprise.

Recomanacions

Microsoft ha indicat com a mesura de mitigació que es pot bloquejar el trànsit NTLM sortint utilitzant els següents tres mètodes:

    • Configuració de la política de grup Seguretat de xarxa: Restringir NTLM: Trànsit NTLM sortint a servidors remots per a permetre, bloquejar o auditar el trànsit NTLM sortint des d’un equip amb Windows 7, Windows Server 2008 o posterior a qualsevol servidor remot que execute el sistema operatiu Windows. En este cas, convé utilitzar la política per a bloquejar el trànsit NTLM.
    • Agregar usuaris al grup de seguretat d’usuaris protegits , que restringix l’ús d’NTLM com a mecanisme d’autenticació.
    • Bloquejant tot el trànsit sortint al port TCP 445.

Però advertix que utilitzar qualsevol d’estes mitigacions podria impedir l’accés legítim a servidors remots que depenen de l’autenticació NTLM.

Referències

    • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38200
    • https://thehackernews.com/2024/08/microsoft-warns-of-unpatched-office.html
    • https://www.bleepingcomputer.com/news/security/microsoft-discloses-unpatched-office-flaw-that-exposes-ntlm-hashes/