El trato mejorado llegó el mismo día en que Trustwave SpiderLabs publicó una nueva forma de eludir la seguridad de Outlook para entregar enlaces maliciosos a las víctimas
Zerodium ha aumentado su precio de oferta para las vulnerabilidades de día cero de Microsoft Outlook.Actúe rápido si tiene los bienes y la ecuanimidad moral para ganar hasta $ 400,000 por una explotación de ejecución remota de código (RCE) sin clic." Cero clic " significa que los objetivos no tienen que leer un mensaje de correo electrónico malicioso ni abrir un archivo adjunto manipulado. Zerodium dijo que también podría querer comprar ese tipo de exploits, solo por un precio más bajo.
El aumento de precios es solo temporal, con la fecha de finalización aún por determinar, según una publicación del jueves de Zerodium, corredor de programas de recompensas de errores de terceros de alto nivel y alto costo.“Estamos aumentando temporalmente nuestro pago por Microsoft Outlook RCE de $250,000 a $400,000. Estamos buscando exploits de cero clic que conduzcan a la ejecución remota de código al recibir o descargar correos electrónicos en Outlook, sin requerir ninguna interacción del usuario, como leer el mensaje de correo electrónico malicioso o abrir un archivo adjunto. Las hazañas que se basan en abrir/leer un correo electrónico pueden adquirirse por una recompensa menor”.Además, Zerodium ha aumentado el pago a $ 200,000 por exploits RCE sin clic que afectan el navegador Mozilla Thunderbird.
Similar a las vulnerabilidades de Outlook que está buscando, Zerodium está buscando vulnerabilidades de clic cero que puedan lograr RCE en Thunderbird cuando los objetivos reciben o descargan correos electrónicos, todo sin que los usuarios tengan que mover un dedo para ser víctimas.
El gatillo
El nuevo entusiasmo de Zerodium por las vulnerabilidades de seguridad de Outlook se produjo el mismo día en que Trustwave SpiderLabs publicó detalles sobre una nueva forma de eludir una característica de seguridad de Outlook para entregar enlaces maliciosos a las víctimas.
Como explicó ayer el arquitecto principal de amenazas de SpiderLabs, Reegun Richard Jayapaul, descubrió el problema después de encontrar varios correos electrónicos que pasaban por alto el sistema de seguridad de correo electrónico mientras investigaba una campaña de malware. Sin embargo, no vio que se usaran técnicas de derivación.“En cambio, la avalancha de correos electrónicos de spear-phishing hizo que el sistema de seguridad del correo electrónico permitiera algunos de los correos electrónicos, momento en el que comencé mi investigación sobre Microsoft Outlook”, escribió.
SpiderLabs descubrió que el análisis de enlaces maliciosos especialmente diseñados era débil en el sistema.“No se trata de eludir la detección; se trata más del analizador de enlaces de los sistemas de seguridad de correo electrónico que no pueden identificar los correos electrónicos que contienen el enlace”, dijo Jayapaul.
Resulta que SpiderLabs encontró una variación de una vulnerabilidad, rastreada como CVE-2020-0696, que Microsoft trató inicialmente en febrero de 2020. La vulnerabilidad de omisión de la función de seguridad ocurre en Microsoft Outlook cuando maneja incorrectamente el análisis de formatos de URI. La explotación exitosa requiere que un atacante use el bypass junto con otra vulnerabilidad, como una vulnerabilidad RCE, antes de que pueda ejecutar código arbitrario.
Debido a la traducción incorrecta del hipervínculo, la omisión inicial de la función de seguridad de Outlook permitió a un atacante que usaba Outlook para Mac omitir por completo los sistemas de seguridad de correo electrónico de Outlook y enviar un enlace malicioso en el que se podía hacer clic (SpiderLabs usó el ejemplo a continuación) a una víctima en Outlook para Windows.
Inicialmente, el enlace creado con fines malintencionados solo parecía funcionar si el atacante usa Microsoft Outlook para Mac y su víctima prevista está en Microsoft Outlook para Windows.
Explotable en clientes de Outlook de Windows y Mac
Sin embargo, como descubrieron más tarde los investigadores de SpiderLabs, la vulnerabilidad se puede explotar en el cliente Outlook de Windows y macOS si un enlace legítimo tiene un hipervínculo con "maliciouslink".
Jayapaul explicó que el sistema de correo electrónico elimina los caracteres ":/" y entrega el enlace como "maliciouslink", sin pasar por Microsoft ATP Safelink y otros productos de seguridad de correo electrónico.“Según el parche CVE-2020-0696, los enlaces con esquemas URI alertarán como una ventana emergente de advertencia; también se eliminan los caracteres ':/' cuando se entregan a los usuarios”, explicó el investigador.“Durante esta transmisión del remitente al receptor, ningún sistema de seguridad de correo electrónico reconoce el archivo de enlace: trustwave.com y se entrega a la víctima como un enlace en el que se puede hacer clic”.
La prueba inicial se realizó en la característica de seguridad de Microsoft O365 "Protección Safelink" y luego se probó y confirmó en múltiples sistemas de seguridad de correo electrónico, confirmó SpiderLabs.
Historias relacionadas:
Microsoft : está solucionando errores de búsqueda de Outlook
Microsoft Office con Word, Excel y PowerPoint : ¿Cómo obtener de forma gratuita
Microsoft y Adobe : ahora cooperan para mejorar la productividad de PDF
Microsoft 365 vs. Google Workspace
Podriá obtener Microsoft Office en forma gratuita
Cinco cosas poco tolerante de windows 11
[Fuente]: threatpost.com
Anónimo.( 28 de Enero de 2022).Microsoft Outlook app. [Fotografía]. Modificado por Carlos Zambrado Recuperado de threatpost.com
