CVE-2024-30103: Ejecución de Código al Abrir un Correo en Outlook

CVE-2024-30103: Ejecución de Código al Abrir un Correo en Outlook

Falla Crítica en Microsoft Outlook Permite Ejecución de Código al Abrir un Correo

Investigadores de Threat Labs han revelado una vulnerabilidad crítica de ejecución remota de código (RCE), identificada como CVE-2024-30103, que afecta a Microsoft Outlook. Esta vulnerabilidad, cuando es explotada, permite a los atacantes ejecutar código arbitrario simplemente abriendo un correo electrónico, lo que supone riesgos significativos para la seguridad.

Descubrimiento

Los investigadores de Morphisec identificaron esta grave vulnerabilidad, la cual afecta a la mayoría de los clientes de Microsoft Outlook, permitiendo a los atacantes ejecutar código arbitrario en los sistemas afectados. CVE-2024-30103 es particularmente alarmante porque no requiere ninguna interacción por parte del usuario: la ejecución se desencadena tan pronto como se abre el correo electrónico. Esta vulnerabilidad de «clic cero» es especialmente peligrosa para las cuentas que tienen habilitada la función de apertura automática de correos.

Un atacante que explote esta vulnerabilidad puede ejecutar código con los mismos privilegios que el usuario, lo que potencialmente puede llevar a un compromiso total del sistema. El exploit puede eludir las listas de bloqueo del registro de Outlook y permitir la creación de archivos DLL maliciosos, lo que puede resultar en filtraciones de datos y acceso no autorizado.

El proceso de descubrimiento de Morphisec involucró un extenso fuzzing y la ingeniería inversa del código base de Microsoft Outlook. El equipo identificó las condiciones específicas que conducen a la vulnerabilidad y reportó sus hallazgos a Microsoft, adhiriéndose a los protocolos de divulgación responsable.

  • 3 de abril de 2024: Morphisec reportó la vulnerabilidad a Microsoft.
  • 16 de abril de 2024: Microsoft confirmó la vulnerabilidad.
  • 11 de junio de 2024: Microsoft lanzó un parche para CVE-2024-30103 como parte de sus actualizaciones de Patch Tuesday.

Morphisec elogió a Microsoft por abordar la vulnerabilidad con rapidez, considerando su gravedad y la complejidad del parche necesario.

El boletín de seguridad de Microsoft sobre esta falla destaca la naturaleza crítica de CVE-2024-30103, asignándole una puntuación CVSS de 8.8/7.7. La vulnerabilidad, clasificada bajo CWE-184, permite a los atacantes explotar la red con baja complejidad y sin requerir interacción del usuario. Se enfatiza que el Panel de Vista Previa es un vector de ataque para esta vulnerabilidad.

Llamada Urgente a la Acción

Se insta a todas las organizaciones a actualizar sus clientes de Microsoft Outlook inmediatamente para mitigar el riesgo asociado con esta vulnerabilidad. Dada la alta probabilidad de explotación, una acción rápida es crucial para proteger los sistemas y los datos sensibles.

Para protegerse contra CVE-2024-30103, es esencial:

  • Aplicar las últimas actualizaciones de seguridad proporcionadas por Microsoft.
  • Desactivar temporalmente la función de apertura automática de correos en Outlook para reducir el riesgo de exploits de «clic cero».
  • Implementar herramientas de monitoreo de seguridad para detectar y responder a cualquier comportamiento inusual.

Morphisec planea publicar información técnica detallada y una prueba de concepto para CVE-2024-30103 en la próxima conferencia DEFCON 32 en Las Vegas. Además, los analistas revelarán algunos detalles sobre otra vulnerabilidad que aún no ha sido parcheada.

𝗣𝗮𝘀𝗼𝘀 𝗿𝗲𝗰𝗼𝗺𝗲𝗻𝗱𝗮𝗱𝗼𝘀 𝗽𝗮𝗿𝗮 𝗮𝗱𝗺𝗶𝗻𝗶𝘀𝘁𝗿𝗮𝗱𝗼𝗿𝗲𝘀 𝗱𝗲 𝗠𝗶𝗰𝗿𝗼𝘀𝗼𝗳𝘁 𝟯𝟲𝟱:

  1. Iniciar sesión en el Centro de Administración de M365:
    • Navegar al Centro de Administración de M365.
    • Iniciar sesión con las credenciales de administrador.
  2. Configurar el canal de actualización:
    • Ir a Dispositivos.
    • Seleccionar el Canal Empresarial Mensual para actualizaciones consistentes y predecibles.
    • Aplicar cambios a todos los dispositivos necesarios.
  3. Forzar la actualización inmediata:
    • En el Centro de Administración de M365, ir a Configuración.
    • Bajo Plazo de Actualización, establecer el número de días en 0 para una aplicación inmediata.

    Nota: Esto interrumpirá las sesiones activas para forzar un reinicio de Outlook y aplicar la actualización.

  4. Iniciar sesión en Microsoft Intune:
    • Navegar a Microsoft Intune.
    • Iniciar sesión con las credenciales de administrador.
  5. Configurar el canal de actualización vía Intune:
    • Ir a Dispositivos > Perfiles de Configuración.
    • Crear o editar un perfil para establecer el Canal de Actualización en Canal Empresarial Mensual.
  6. Establecer el plazo de actualización en Intune:
    • Dentro del mismo perfil, ir a Plazo de Actualización.
    • Establecer el plazo en 0 días para asegurar actualizaciones inmediatas.
  7. Guardar y desplegar:
    • Revisar configuraciones y guardar.
    • Desplegar los perfiles actualizados a los dispositivos objetivo.

Se recomienda actualizar Microsoft Outlook ya que reducirá el riesgo que presenta la vulnerabilidad CVE-2024-30103.

Publicado en cve

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *