Microsoft ha rilasciato il 14 marzo la patch per la vulnerabilità zero-day CVE-2023-23397 presente in Outlook. L’azienda di Redmond ha ora pubblicato un articolo dettagliato per descrivere il problema di sicurezza e consigliare le misure da attuare per ridurre i rischi, tra cui l’uso di Defender for Endpoint e Defender for Office 365.
CVE-2023-23397: descrizione e soluzioni
La vulnerabilità CVE-2023-23397 era presente in tutte le versioni di Outlook per Windows (non in Outlook per macOS, Android, iOS, web e Microsoft 365). Si tratta in dettaglio di una vulnerabilità EoP (elevazione di privilegi) che viene sfruttata attraverso l’invio di messaggi con proprietà MAPI (Messaging Application Programming Interface) contenente un percorso UNC (Universal Naming Convention) a condivisioni SMB (porta 445) controllate dai cybercriminali.
L’exploit consente di inviare al server remoto gli hash Net-NTLMv2. Questa informazione può essere utilizzata per attacchi NTLM Relay oppure per effettuare l’estrazione delle password. Non è necessaria l’interazione dell’utente, essendo un attacco “zero-click”. Microsoft ha individuato i primi exploit nel mese di aprile 2022. Gli autori sono probabilmente i cybercriminali del gruppo APT28 (noto anche come Strontium o Fancy Bear) che opera per conto del servizio di intelligenze militare russo.
Gli amministratori IT possono cercare tracce di eventuali attacchi nei log di firewall, proxy, Azure Active Directory, IIS, VPN e RDP Gateway. Utilizzando lo script distribuito da Microsoft è possibile effettuare la scansione dei messaggi per trovare la proprietà sospetta.
Il primo consiglio è ovviamente quello di installare la patch. Altre misure protettive sono il blocco del traffico in uscita dalla porta 445 tramite firewall, l’uso dell’autenticazione multi-fattore, la disattivazione dei servizi non necessari su Exchange e di NTLM.
Ti potrebbe interessare
27 mar 2023