domingo, 24 de diciembre de 2023

CVE-2023-35628: vulnerabilidad silenciosa por e-mail en Outlook sin necesidad de hacer clic

CVE-2023-35628 es una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a la plataforma Microsoft Windows MSHTML, con una puntuación de gravedad de (CVSS) de 8,1 sobre 10, lo que indica un alto nivel de riesgo. Esta vulnerabilidad es particularmente preocupante porque puede explotarse sin ninguna interacción por parte del usuario. La vulnerabilidad puede desencadenarse cuando Microsoft Outlook recupera y procesa un correo electrónico especialmente diseñado, incluso antes de que el correo electrónico se vea en el panel de vista previa de Outlook. 



Vulnerabilidad en Windows MSHTML (CVE-2023-35628)

La naturaleza de CVE-2023-35628 permite que un atacante remoto y no autenticado ejecute código arbitrario en el sistema de la víctima. El exploit se puede iniciar enviando un correo electrónico especialmente diseñado, y se ha observado que es probable que las bandas de ransomware y otras entidades maliciosas encuentren esta vulnerabilidad como un objetivo atractivo. Aunque actualmente no se ha demostrado la madurez del código de explotación para CVE-2023-35628, lo que significa que es posible que aún no exista un método confiable para explotar esta vulnerabilidad en la naturaleza, el potencial de ejecución remota de código lo convierte en un problema crítico para todos los usuarios de Windows.

PLATAFORMA MSHTML

La vulnerabilidad en la plataforma MSHTML, específicamente CVE-2023-35628, se puede atribuir a varios factores que se encuentran comúnmente en las vulnerabilidades de software:

  1. Análisis y representación de contenido HTML: MSHTML, al ser un componente utilizado para analizar y representar contenido HTML en aplicaciones como Microsoft Outlook, procesa una gran cantidad de entradas que no son de confianza. Esta entrada, que a menudo incluye HTML complejo y contenido de secuencias de comandos, puede contener fallas o secuencias inesperadas que el software no maneja adecuadamente.

  2. Problemas de administración de la memoria: las vulnerabilidades a menudo surgen debido a problemas de administración de la memoria, como desbordamientos del búfer, errores de uso después de la liberación u otros problemas similares. Estos problemas pueden ocurrir cuando el software no asigna, administra o libera memoria correctamente al procesar contenido HTML. Los atacantes pueden aprovechar estas debilidades para ejecutar código arbitrario.

  3. Validación de entrada insuficiente: las vulnerabilidades del software también pueden deberse a una validación de entrada insuficiente. Si MSHTML no valida o desinfecta adecuadamente el contenido HTML que procesa, se podrían utilizar entradas maliciosas para desencadenar un exploit. Esto podría incluir secuencias de comandos especialmente diseñadas o estructuras HTML con formato incorrecto diseñadas para aprovechar las debilidades del analizador.

  4. Complejidad de los estándares web: la complejidad de los estándares web modernos también puede contribuir a las vulnerabilidades. A medida que los estándares evolucionan y se vuelven más complejos, resulta cada vez más difícil garantizar que cada aspecto del proceso de análisis y representación sea seguro contra todos los posibles vectores de ataque.

  5. Integración con clientes de correo electrónico: la integración de MSHTML con clientes de correo electrónico como Outlook añade otra capa de complejidad. Los correos electrónicos son un vector común para entregar contenido malicioso y el procesamiento automático de correos electrónicos (incluida la representación de contenido HTML) puede facilitar que los atacantes aprovechen las vulnerabilidades sin la interacción directa del usuario.

EL EXPLOIT SIN CLIC

Un exploit para la vulnerabilidad CVE-2023-35628 en la plataforma MSHTML de Windows normalmente implicaría algunos pasos clave, diseñados para aprovechar la naturaleza específica de esta falla. A continuación se ofrece una descripción general generalizada de cómo podría funcionar un exploit de este tipo:

  1. Elaboración de un correo electrónico malicioso: el atacante comienza creando un correo electrónico especialmente diseñado. Este correo electrónico contendría código malicioso o una carga útil diseñada para explotar la vulnerabilidad en la plataforma MSHTML. La naturaleza precisa de este código depende de las características específicas de la vulnerabilidad y se adaptaría para desencadenar la falla en MSHTML.

  2. Entrega de correo electrónico y procesamiento automático: el correo electrónico diseñado se envía al destino. En el caso de CVE-2023-35628, el aspecto crítico es que la vulnerabilidad se activa cuando Microsoft Outlook recupera y procesa el correo electrónico. Este procesamiento ocurre automáticamente, a menudo incluso antes de que el correo electrónico se muestre en el panel de vista previa de Outlook.

  3. Ejecución remota de código: al procesar el correo electrónico malicioso, se ejecuta el código de explotación. La ejecución de este código se produce dentro del contexto de la plataforma MSHTML, que es un componente clave utilizado por Outlook para representar contenido HTML en correos electrónicos.

  4. Tomar el control o dañar el sistema: una vez que se ejecuta el código, puede realizar diversas actividades maliciosas. Esto podría ir desde tomar el control del sistema del usuario, robar información confidencial, instalar malware o realizar otras acciones dañinas. El alcance del daño o control depende de la naturaleza de la carga útil y de los permisos disponibles para el proceso MSHTML.

La configuración de la memoria es una técnica de explotación avanzada que se utiliza a menudo en ciberataques sofisticados, en particular aquellos que involucran sistemas de software complejos y entornos seguros. Es un método utilizado por los atacantes para manipular el diseño o el estado de la memoria en una aplicación de destino para facilitar la explotación de vulnerabilidades. La configuración de la memoria puede ser parte de la explotación de vulnerabilidades como desbordamientos del búfer, errores de uso después de la liberación u otros problemas de corrupción de la memoria.


Fuentes:

https://www.securitynewspaper.com/2023/12/15/silent-email-attack-cve-2023-35628-how-to-hack-without-an-email-click-in-outlook/

No hay comentarios:

Publicar un comentario