RECOMENDAÇÃO 10/2023

[TLP:CLEAR]

1. Foi identificada vulnerabilidade crítica no Microsoft Outlook. A falha permite roubo de credenciais e potencial escalação de privilégios. As ações maliciosas exploram a vulnerabilidade descrita na Common Vulnerabilities and Exposures (CVE) abaixo relacionada:

• https://nvd.nist.gov/vuln/detail/CVE-2023-23397

2. O Gabinete de Segurança Institucional da Presidência da República (GSI/PR), por intermédio do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições que identifiquem sistemas Microsoft Outlook vulneráveis sob sua responsabilidade e apliquem as devidas atualizações com a urgência que o caso requer, conforme instruções publicadas na seção "Security Updates" da página:

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

3. Até que as atualizações sejam instaladas, recomenda-se, como medida de mitigação, o bloqueio do tráfego da porta 445/SMB para fora da rede, de modo a impedir o envio de mensagens de autenticação NTLM. Além disso, recomenda-se a utilização do recurso de grupo de usuários protegidos do Active Directory para as contas dos administradores de domínio. Mais informações sobre o grupo de segurança podem ser obtidas em:

• https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group

4. Sugerimos a leitura das versões 1 e 2 do documento "Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques", disponíveis no link a seguir, que discutem ataques do tipo Pass-the-Hash (PtH) e abordam estratégias mais eficazes contra-ataques desta natureza:

• https://www.microsoft.com/en-us/download/details.aspx?id=36036

5. Este e outros Alertas e Recomendações emitidos pelo CTIR Gov podem ser consultados em:

• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes

Equipe CTIR Gov.

[TLP:CLEAR]