Microsoft ha identificado una vulnerabilidad sin parche en su suite de software Office, conocida como CVE-2024-38200. Esta vulnerabilidad de tipo zero-day podría permitir la divulgación no autorizada de información sensible incluyendo hashes NTLM, por lo cual ha sido clasificada con un puntaje CVSS de 7.5 ya que podría ser utilizada para comprometer redes enteras.
La explotación de la vulnerabilidad CVE-2024-38200 afecta a múltiples versiones de Microsoft Office y se puede llevar a cabo mediante un ataque web, en el cual un atacante utiliza un sitio web comprometido para distribuir un archivo especialmente diseñado para explotar la vulnerabilidad, a través de técnicas de ingeniería social como correos electrónicos o mensajes instantáneos.
Versiones afectadas:
- Microsoft Office 2016 (ediciones de 32 bits y 64 bits).
- Microsoft Office 2019 (ediciones de 32 bits y 64 bits).
- Microsoft Office LTSC 2021 (ediciones de 32 bits y 64 bits).
- Microsoft 365 Apps for Enterprise (sistemas de 32 bits y 64 bits).
Solución:
- Se espera que el parche para corregir esta vulnerabilidad se publique el 13 de agosto como parte de las actualizaciones de Patch Tuesday, sin embargo, Microsoft ha implementado una solución alternativa mediante Feature Flighting desde el 30 de julio de 2024, esta solución provisional proporciona una protección temporal.
Recomendaciones:
- Configurar la política de «Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers» para bloquear o auditar el tráfico NTLM saliente.
- Añadir usuarios al grupo de seguridad Protected Users para evitar el uso de NTLM como mecanismo de autenticación.
- Bloquear el tráfico TCP 445/SMB saliente mediante firewalls perimetrales, firewalls locales y configuraciones de VPN para evitar el envío de mensajes de autenticación NTLM a archivos compartidos remotos.
- Aplicar el parche final cuando se encuentre disponible.
Referencias: