El error en Microsoft Outlook permite a los piratas informáticos robar fácilmente su contraseña de Windows
La vulnerabilidad de Microsoft Outlook (CVE-2018-0950) podría permitir a los atacantes robar información sensible, incluidas las credenciales de inicio de sesión de Windows de los usuarios, simplemente al convencer a las víctimas de obtener una vista previa de un correo electrónico con Microsoft Outlook, sin requerir ninguna interacción adicional del usuario.
La vulnerabilidad, descubierta por Will Dormann del CERT Coordination Center (CERT / CC), reside en la forma en que Microsoft Outlook procesa contenido OLE alojado remotamente cuando se visualiza un mensaje de correo electrónico RTF (Formato de texto enriquecido) e inicia automáticamente las conexiones SMB.

Dado que Microsoft Outlook procesa automáticamente el contenido OLE, iniciará una autenticación automática con el servidor remoto controlado del atacante a través del protocolo SMB utilizando el inicio de sesión único (SSO), entregando el nombre de usuario de la víctima y la versión hash NTLMv2 de la contraseña, permitiendo potencialmente que el atacante obtener acceso al sistema de la víctima.

«Esto puede filtrar la dirección IP del usuario, el nombre de dominio, el nombre de usuario, el nombre de host y el hash de la contraseña. Si la contraseña del usuario no es lo suficientemente compleja, un atacante podría descifrar la contraseña en un corto período de tiempo». CERT explica.
Si está pensando, ¿por qué su PC con Windows entregará automáticamente sus credenciales al servidor SMB del atacante?

Dormann informó sobre la vulnerabilidad a Microsoft en noviembre de 2016 y, en un intento por corregir el problema, la compañía lanzó una solución incompleta en su revisión del parche de abril de 2018 el martes , que son casi 18 meses después de la publicación del informe.
«Es importante darse cuenta de que, incluso con este parche, un usuario todavía está a un solo clic de ser víctima de los tipos de ataques descritos anteriormente», dijo Dormann. «Por ejemplo, si un mensaje de correo electrónico tiene un vínculo de estilo UNC que comienza con» \\ «, al hacer clic en el enlace se inicia una conexión SMB con el servidor especificado».

- Aplique la actualización de Microsoft para CVE-2018-0950, si aún no lo ha hecho.
- Bloquee los puertos específicos (445 / tcp, 137 / tcp, 139 / tcp, junto con 137 / udp y 139 / udp) utilizados para las sesiones SMB entrantes y salientes.
- Bloquea la autenticación de inicio de sesión único (NT) de NTL Manager.
- Utilice siempre contraseñas complejas, que no se pueden descifrar fácilmente incluso si se roban sus hashes (puede usar gestores de contraseñas para manejar esta tarea).
- Lo más importante, no haga clic en los enlaces sospechosos proporcionados en los correos electrónicos.