GETOVERX FORUM Community Support
Storm-0558 (2023) - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Gusanos (Worms) (https://forum.getoverx.com/forumdisplay.php?fid=14)
+--- Thread: Storm-0558 (2023) (/showthread.php?tid=78)

Storm-0558 (2023) - mrwebfeeder - 11-29-2025

Nombre: Outlook token stealing – CVE-2023-23397
Categoría: Vulnerabilidad / Exploit – Elevación de privilegios y robo de NTLM
Fecha de descubrimiento (divulgación pública): 2023

Descripción general:
CVE-2023-23397 es una vulnerabilidad crítica en Microsoft Outlook para Windows que permite a un atacante filtrar el hash Net-NTLMv2 del usuario (robo de token/credenciales) mediante un correo especialmente manipulado. No requiere interacción del usuario: el simple procesamiento del mensaje por Outlook dispara la conexión hacia un recurso SMB controlado por el atacante, enviando las credenciales NTLM que luego pueden ser usadas para autenticarse contra otros sistemas de la organización.:contentReference[oaicite:0]{index=0}

Comportamiento del exploit (lo que hace):
- El atacante envía una invitación de calendario o mensaje con una propiedad MAPI extendida que contiene una ruta UNC a un recurso SMB/TCP 445 bajo su control.:contentReference[oaicite:1]{index=1}
- Cuando Outlook procesa el recordatorio (PlayReminderSound / PidLidReminderFileParameter), intenta cargar el archivo de sonido desde esa ruta UNC.:contentReference[oaicite:2]{index=2}
- El cliente Outlook establece una conexión al servidor SMB remoto y envía un mensaje de negociación NTLM con el hash Net-NTLMv2 del usuario.:contentReference[oaicite:3]{index=3}
- El atacante puede usar ese hash en ataques de relay NTLM para ganar acceso a otros servicios internos que acepten NTLM, elevando privilegios dentro del dominio.:contentReference[oaicite:4]{index=4}
- El exploit puede dispararse incluso antes de que el usuario abra el correo en el panel de lectura.:contentReference[oaicite:5]{index=5}

Superficie afectada:
- Todas las versiones soportadas de Microsoft Outlook para Windows.
- Outlook para Android, iOS, macOS y Outlook Web no se ven afectados directamente por esta vulnerabilidad específica.:contentReference[oaicite:6]{index=6}

Vector “Outlook token stealing”:
- Exploit: Outlook token / NTLM hash stealing a través de mensajes con propiedad MAPI extendida y rutas UNC hacia SMB.
- Objetivo: Obtener hashes Net-NTLMv2 de cuentas válidas para movimientos laterales, escalado de privilegios y acceso no autorizado a recursos internos.

Identificador CVE de referencia:
Code:
CVE-2023-23397

Indicadores y señales tempranas:
- Conexiones SMB salientes atípicas desde equipos de usuarios hacia servidores externos o subredes no autorizadas (puerto TCP 445).
- Eventos de autenticación NTLM fallida o inusual contra servidores internos, con origen en hosts que recibieron correos sospechosos.
- Eventos de Outlook/MAPI asociados a recordatorios o invitaciones de calendario con rutas UNC “raras” o fuera del dominio corporativo.:contentReference[oaicite:7]{index=7}

Mitigación con GetOverX Shield 3.0.2.0 o Superior (combinado con parches de Microsoft):
  • Parcheo base (recomendado antes que todo):
    - Aplicar las actualizaciones de seguridad de Microsoft que corrigen CVE-2023-23397 en todos los equipos con Outlook para Windows.
    - Verificar el cumplimiento de parches en todos los endpoints de la organización (incluyendo laptops remotas).

  • Firewall (GetOverX Shield – Módulo Firewall):
    - Bloquear conexiones SMB salientes (TCP 445) hacia Internet y redes no confiables, permitiendo sólo las comparticiones internas autorizadas.
    - Crear reglas específicas para impedir acceso SMB desde equipos de usuario hacia IPs externas o rangos sospechosos.
    - Registrar y revisar periódicamente intentos de conexión bloqueados que puedan indicar intentos de explotación.

  • HIPS / EDR (GetOverX Shield – Módulo HIPS/EDR):
    - Monitorizar autenticación MAPI/Exchange anómala:
    - Detectar patrones de acceso inusuales a buzones, reglas de correo o recursos Exchange desde clientes Outlook concretos.
    - Correlacionar eventos de Outlook con conexiones SMB salientes inusuales.
    - Crear reglas de comportamiento para:
    - Alertar cuando un proceso de usuario (Outlook.exe) intente abrir rutas UNC externas inusuales.
    - Detectar picos repentinos de autenticaciones NTLM desde un mismo host hacia múltiples servidores.
    - Registrar estos eventos en los logs unificados para análisis posterior. (Ver sección de “unified logs”).

  • Sandbox (GetOverX Shield – Módulo Sandbox):
    - Analizar correos sospechosos con adjuntos o invitaciones de calendario en un entorno aislado.
    - Observar si el cliente de prueba intenta conectarse a rutas UNC no autorizadas o realizar conexiones SMB hacia dominios externos.
    - Marcar patrones de invitaciones maliciosas para futuras detecciones automatizadas.

  • Logs unificados (GetOverX Shield – Unified Logs / SIEM ligero):
    - Log early indicators using unified logs:
    - Registrar eventos de Outlook relacionados con MAPI extendido, invitaciones de calendario y recordatorios que involucren rutas UNC.
    - Correlacionar estos registros con:
    - Logs de firewall (conexiones SMB salientes).
    - Logs de autenticación NTLM/AD.
    - Generar alertas cuando la combinación “Outlook + ruta UNC externa + SMB + NTLM” se presente en un mismo flujo temporal.

  • Endurecimiento adicional (Hardening):
    - Deshabilitar o restringir NTLM donde sea posible; favorecer Kerberos y otros mecanismos modernos.
    - Limitar el uso de cuentas con privilegios elevados en estaciones de trabajo (usar cuentas separadas para administración).
    - Configurar reglas de segmentación de red que dificulten el movimiento lateral incluso si se roban credenciales.

  • Respuesta a incidente con GetOverX Shield:
    - Identificar los usuarios que recibieron mensajes maliciosos o presentan conexiones SMB sospechosas.
    - Forzar el cambio de contraseñas y, cuando corresponda, invalidar tokens y sesiones activas.
    - Revisar controladores de dominio, servidores de archivos y otros recursos accesibles mediante NTLM para detectar accesos anómalos.
    - Utilizar el módulo EDR de GetOverX Shield para revisar el timeline de procesos y conexiones en los hosts afectados y documentar el incidente.

Notas opcionales:
- Este exploit se ha asociado a campañas avanzadas (APT) con foco en entidades gubernamentales y organizaciones europeas, dada su capacidad de robo silencioso de credenciales.