I ricercatori di Akamai hanno descritto in dettaglio una vulnerabilità zero-click di Outlook, sfruttata per aggirare la protezione della patch rilasciata a marzo da Microsoft. Il problema di sicurezza è presente in tutte le versioni di Windows, quindi gli utenti devono installare al più presto l’aggiornamento cumulativo del 9 maggio.
Possibile furto delle credenziali NTLM
La vulnerabilità originaria, indicata con CVE-2023-23397, consentiva di ottenere privilegi elevati e rubare le credenziali NTLM di Windows, senza l’interazione dell’utente. Ciò avviene inviando email con proprietà MAPI contenente percorsi UNC ad una condivisione SMB sul server controllato dai cybercriminali.
A fine marzo, Microsoft aveva fornito i dettagli del bug e spiegato come individuare un eventuale attacco. I ricercatori di Akamai hanno però scoperto un modo per aggirare la protezione introdotta con la patch.
Per risolvere il problema è stata aggiunta al codice una chiamata a MapUrlToZone che verifica se il percorso UNC contiene un URL Internet. È tuttavia sufficiente usare un URL che sembra riferito ad un percorso locale per aggirare il fix e consentire ad Outlook di effettuare una connessione al server remoto.
La nuova vulnerabilità, indicata con CVE-2023-29324, è presente in tutte le versioni di Windows, in quanto è correlata alla modalità di gestione dei percorsi da parte del sistema operativo. Il bug originario è stato sfruttato dal noto gruppo STRONTIUM (o Fancy Bear o APT-28) legato al servizio di intelligence militare (GRU) della Russia.
Ti potrebbe interessare
12 mag 2023