Microsoft risolve una vulnerabilità zero-day di Outlook

Microsoft risolve una vulnerabilità zero-day di Outlook

Microsoft ha rilasciato la patch per una vulnerabilità zero-day di Outlook per Windows che può essere sfruttata per rubare le credenziali dell'account.
Microsoft risolve una vulnerabilità zero-day di Outlook
Microsoft ha rilasciato la patch per una vulnerabilità zero-day di Outlook per Windows che può essere sfruttata per rubare le credenziali dell'account.

Microsoft ha corretto 83 vulnerabilità nei suoi prodotti con le patch rilasciate ieri sera. Due di esse sono zero-day. La prima era presente nella funzionalità Smart Screen di Windows (sfruttata per distribuire il ransomware Magniber), mentre la seconda era presente in Outlook e sfruttata da cybercriminali russi per attività di spionaggio contro aziende europee.

Pericolo per Outlook: installare subito la patch

La vulnerabilità zero-day, indicata con CVE-2023-23397, è stata scoperta e segnalata a Microsoft dal CERT (Computer Emergency Response Team) dell’Ucraina. Si tratta in dettaglio di una vulnerabilità critica che permetteva di ottenere privilegi elevati e rubare le credenziali di Windows senza l’interazione dell’utente. Il problema di sicurezza riguardava tutte le versioni di Outlook per Windows, ma non Outlook per macOS, web, Android, iOS e Microsoft 365.

La vulnerabilità viene sfruttata inviando email con proprietà MAPI che contiene percorsi UNC ad una condivisione SMB (TCP 445) sul server controllato dai cybercriminali. È sufficiente inviare un messaggio specifico che sfrutta il bug prima della sua visualizzazione nel pannello di anteprima. Il dispositivo della vittima trasmette al server remoto gli hash Net-NTLMv2 che possono essere utilizzati per futuri attacchi NTLM Relay.

Il CERT dell’Ucraina ha scoperto che la vulnerabilità è stata già sfruttata da un gruppo di cybercriminali russi (noto come Strontium, APT-28 o Fancy Bear) per colpire organizzazioni europee che operano in vari settori (militare, trasporti, energia). L’obiettivo è rubare le credenziali e le email di specifici target.

Microsoft consiglia di installare al più presto la patch. Se non è possibile si dovrebbero almeno bloccare con un firewall le connessioni SMB in uscita sulla porta TCP 445.

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 15 mar 2023
Link copiato negli appunti