Vulnerabilità critica su client di posta elettronica Microsoft Outlook

Microsoft Security Response Center (MSRC), il 14 marzo 2023, ha reso nota una vulnerabilità 0-day identificata tramite la CVE-2023-23397. Colpisce Microsoft Outlook e il livello di pericolosità è molto alto perchè lo score CVSS v3 è pari a 9.8/10. Questa falla potrebbe essere utilizzata da un utente malevolo per elevare i propri privilegi sui dispositivi identificati come target e prenderne il controllo.
Questa vulnerabiltà è stata sanata dal vendor nella Patch Tuesday di marzo e, come sempre avviene in questi casi, il produttore chiede di aggiornare il componente interessato il prima possibile. 

Queste le release interessate:

• Microsoft 365 Apps for Enterprise – 32 e 64 bit
• Microsoft Office LTSC 2021 – 32 e 64 bit
• Microsoft Outlook 2016 – 32 e 64 bit
• Microsoft Outlook 2013 Service Pack 1 – 32 e 64 bit
• Microsoft Outlook 2013 RT Service Pack 1
• Microsoft Office 2019 – 32 e 64 bit

Chi può sfruttare queste vulnerabilità:

Questa vulnerabilità può consentire ad un utente malevolo di acquisire l’hash NTLM di un account Windows tramite l’invio di una email creata per questo scopo. In particolare, la ricezione di tale email – con proprietà MAPI estesa e contenente un path UNC verso un server SMB (porta 445) – comporta il tentativo di connessione automatica da parte del client al server remoto. Tutto questo avviene sotto il controllo dell’attaccante con successivo invio del messaggio di negoziazione NTLM all’utente vittima. Queste operazioni avvengono senza alcun segnale per l’utente, infatti non necessitano di alcuna interazione. Questa vulnerabilità potrebbe poi essere utilizzata come attacco di tipo NTLM Relay verso altri servizi utente.

Lo scopo? Aumentare i propri privilegi all’interno del sistema compromesso per assumerne il pieno controllo. Si parla di Privilege Escalation e Session Hijacking

L’elevazione di privilegi è una minaccia grave di sicurezza. Un utente con privilegi limitati, se riesce ad ottenere maggiori permessi, ad esempio diventando amministratore o root, può acquisire accesso ai dati o funzionalità del sistema che normalmente non sarebbero a disposizione dell’utente standard. Per questo motivo, è importante che i sistemi informatici siano adeguatamente protetti e che vengano adottate tutte le misure di sicurezza necessarie a prevenire qualsiasi elevazione di privilegi.

Il session hijacking o dirottamento di sessione consente all’attaccante di assumere il controllo di un account utente legittimo e di accedere ai dati o funzionalità di sistema.  

Cosa bisogna fare:

Non mi stancherò mai di dire che è indispensabile mantenere i sistemi sempre aggiornati e che esistono sistemi che consentono la corretta gestione dei privilegi di amministratore come BeyondTrust.

Se hai bisogno di supporto compila il modulo di contatto, sarò felice di aiutarti.

Riferimenti

https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/
https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
https://www.microsoft.com/en-us/security/blog/2023/03/24/guidance-for-investigating-attacks-using-cve-2023-23397/