BUG Critico di Microsoft Outlook: installate la patch

I ricercatori di sicurezza hanno condiviso i dettagli tecnici per sfruttare una vulnerabilità critica di Microsoft Outlook per Windows (CVE-2023-23397) che consente agli hacker di rubare in remoto le password con hash semplicemente ricevendo un'e-mail.

Microsoft ieri ha rilasciato una patch per la falla di sicurezza, ma è stata sfruttata come vulnerabilità zero-day negli attacchi di inoltro NTLM almeno da metà aprile 2022.

Il problema è una vulnerabilità di escalazione dei privilegi con un livello di gravità 9,8 che interessa tutte le versioni di Microsoft Outlook su Windows.

Un utente malintenzionato può utilizzarlo per rubare le credenziali NTLM semplicemente inviando alla destinazione un'e-mail dannosa.

Non è necessaria alcuna interazione da parte dell'utente poiché l'exploit si verifica quando Outlook è aperto e il promemoria viene attivato sul sistema.

Sebbene l'autenticazione NTLM comporti rischi noti, viene ancora utilizzata sui nuovi sistemi per la compatibilità con i sistemi precedenti.

Funziona con gli hash delle password che il server riceve da un client quando tenta di accedere a una risorsa condivisa, come le condivisioni SMB. Se rubati, questi hash possono essere utilizzati per l'autenticazione sulla rete.

Microsoft ha spiegato che un utente malintenzionato può utilizzare CVE-2023-23397 per ottenere hash NTLM inviando "un messaggio con una proprietà MAPI estesa con un percorso UNC a una condivisione SMB (TCP 445) su un server controllato da attori di minacce".

"La connessione al server SMB remoto invia il messaggio di negoziazione NTLM dell'utente, che l'attaccante può quindi inoltrare per l'autenticazione contro altri sistemi che supportano l'autenticazione NTLM" - Microsoft

Tuttavia, lo sfruttamento del problema richiede ulteriori dettagli tecnici, che sono arrivati poco dopo che Microsoft ha rilasciato la correzione dai ricercatori della società di consulenza sulla sicurezza MDSec.

Dopo aver esaminato uno script di Microsoft che controlla gli elementi di messaggistica di Exchange per segni di sfruttamento utilizzando CVE-2023-23397, Dominic Chell, membro del team rosso di MDSec, ha scoperto con quanta facilità un attore di minacce potrebbe sfruttare il bug.

Ha scoperto che lo script potrebbe cercare la proprietà "PidLidReminderFileParameter" all'interno degli elementi di posta ricevuti e rimuoverla quando presente.

Chell spiega che questa proprietà consente al mittente di definire il nome file che il client Outlook deve riprodurre quando viene attivato il promemoria del messaggio.

Il motivo per cui ciò è stato possibile rimane un enigma che il ricercatore non è riuscito a spiegare poiché il mittente di un'e-mail non dovrebbe essere in grado di configurare il suono per l'avviso di nuovo messaggio sul sistema del destinatario.

Outlook consente ai mittenti di posta elettronica di definire l'audio da riprodurre sul sistema del destinatario di posta elettronica

Chell ha notato che se la proprietà ha accettato un nome di file dovrebbe anche essere possibile aggiungere un percorso UNC per attivare l'autenticazione NTLM.

Il ricercatore ha anche scoperto che la proprietà PidLidReminderOverride potrebbe essere utilizzata per fare in modo che Microsoft Outlook analizzi un percorso UNC remoto e dannoso nella proprietà PidLidReminderFileParameter.

Queste informazioni hanno consentito al ricercatore di creare un'e-mail dannosa di Outlook (.MSG) con un appuntamento nel calendario che avrebbe attivato la vulnerabilità e inviato gli hash NTLM del bersaglio a un server arbitrario.

Questi hash NTLM rubati possono quindi essere utilizzati per eseguire attacchi di inoltro NTLM per un accesso più approfondito alle reti aziendali.

Appuntamento del calendario dannoso in Microsoft Outlook

Rubare hash NTLM tramite un appuntamento del calendario dannoso in Microsoft Outlook

fonte: MDSec

Oltre agli appuntamenti del calendario, un utente malintenzionato potrebbe anche utilizzare le attività di Microsoft Outlook, le note o i messaggi di posta elettronica per rubare gli hash.

Chell osserva che CVE-2023-23397 può essere utilizzato per attivare l'autenticazione a un indirizzo IP che si trova al di fuori della zona Intranet attendibile o dei siti attendibili.

MDSec ha condiviso un video che mostra come sfruttare la vulnerabilità critica appena corretta in Microsoft Outlook:

Secondo Microsoft, "un attore di minacce con sede in Russia" ha sfruttato la vulnerabilità in attacchi mirati contro diverse organizzazioni europee nei settori governativo, dei trasporti, dell'energia e militare.

Si ritiene che il gruppo di hacker dietro gli attacchi sia APT28 (alias Strontium, Fancy Bear, Sednit, Sofacy), un attore di minacce che è stato collegato alla Direzione principale dello Stato maggiore delle Forze armate della Federazione Russa (GRU).

Si ritiene che fino a 15 organizzazioni siano state prese di mira o violate utilizzando CVE-2023-23397, l'ultimo attacco verificatosi lo scorso dicembre.

Dopo aver ottenuto l'accesso, gli hacker utilizzano spesso i framework open source Impacket e PowerShell Empire per estendere la loro presa e passare a sistemi più preziosi sulla rete per raccogliere informazioni.