Outlook: la voce del calendario può rubare la password

25. Gennaio 2024
| Non ci sono commenti
Outlook: la voce del calendario può rubare la password -AI

Condividi post

Esiste una nuova vulnerabilità in Outlook e tre modi per accedere alle password con hash NTLM v2. L'accesso può essere effettuato tramite la funzione calendario e le doppie intestazioni tramite la voce del calendario. Gli esperti hanno scoperto la vulnerabilità e lanciano l'allarme.

Varonis Threat Labs ha scoperto la nuova vulnerabilità di Outlook (CVE-2023-35636) e tre nuovi modi per sfruttarla. Ciò consente di accedere alle password hash NTLM v2 da Outlook, Windows Performance Analyser (WPA) ed Esplora file di Windows. Con l'accesso a queste password, gli aggressori possono tentare un attacco di forza bruta offline o un attacco di inoltro di autenticazione per compromettere un account e ottenere l'accesso.

Sistemi senza patch a rischio

Microsoft ha rivelato queste vulnerabilità e gli exploit esistenti nel luglio 2023. Da allora Microsoft ha classificato le vulnerabilità WPA e Windows File Explorer come di “gravità media” e l’exploit Outlook 6.5 come “importante” (CVE-2023-35636). Microsoft ha successivamente rilasciato una patch per questo CVE il 12 dicembre 2023. I sistemi privi di patch rimangono vulnerabili agli autori delle minacce che tentano di rubare password con hash utilizzando i metodi sopra indicati.

Cosa c'è dietro CVE-2023-35636?

CVE-2023-35636 è un exploit che indica alla funzionalità di condivisione del calendario in Microsoft Outlook di aggiungere due intestazioni a un'e-mail di Outlook. Ha lo scopo di condividere contenuti per contattare un computer specifico, che offre la possibilità di intercettare un hash NTLM v2. NTLM v2 è un protocollo crittografico utilizzato da Microsoft Windows per autenticare gli utenti su server remoti. Sebbene NTLM v2 sia una versione più sicura dell'NTLM originale, v2 è ancora vulnerabile agli attacchi di forza bruta offline e di inoltro di autenticazione.

Perdita di hash NTLM v2 con Outlook

Outlook è lo strumento di posta elettronica e calendario predefinito per la suite Microsoft 365 ed è utilizzato da milioni di persone in tutto il mondo sia per scopi aziendali che personali. Una delle funzionalità di Outlook è la possibilità di condividere calendari tra utenti. Tuttavia, questa funzionalità può essere sfruttata, come scoperto da Varonis Threat Labs, inserendo alcune intestazioni in un'e-mail per attivare un tentativo di autenticazione e reindirizzare la password con hash.

Scenario di attacco

Questo exploit utilizza lo stesso scenario di attacco dell'altro exploit Esplora file di Windows.

  • Un utente malintenzionato crea un collegamento dannoso utilizzando l'exploit sopra descritto.
  • Per inviare alla vittima il collegamento dannoso, un attacco può utilizzare il phishing tramite e-mail, una pubblicità falsa sul sito Web o persino inviare il collegamento direttamente tramite i social media.
  • Una volta che la vittima fa clic sul collegamento, l'aggressore può ottenere l'hash e quindi tentare di decifrare la password dell'utente offline.
  • Una volta violato l'hash e ottenuta la password, un utente malintenzionato può utilizzarla per accedere all'organizzazione come utente.

Maggiore protezione contro gli attacchi NTLM v2

Esistono diversi modi per proteggersi dagli attacchi NTLM v2:

  • Firma SMB: la firma SMB è una funzionalità di sicurezza che aiuta a proteggere il traffico SMB da manomissioni e attacchi man-in-the-middle. Funziona firmando digitalmente tutti i messaggi SMB. Ciò significa che se un utente malintenzionato tenta di modificare un messaggio SMB, il destinatario può rilevare la modifica e rifiutare il messaggio. La firma SMB è abilitata per impostazione predefinita in Windows Server 2022 e versioni successive ed è disponibile in Windows 11 Enterprise Edition (a partire da Insider Edition ). Anteprima della build 25381).
  • Blocca NTLM v2 in uscita a partire da Windows 11 (25951). Microsoft ce l'ha Aggiunta opzione per bloccare l'autenticazione NTLM in uscita.
  • Se possibile, applica l'autenticazione Kerberos e blocca NTLM v2 sia a livello di rete che di applicazione.
Altro su Varonis.com

 

A proposito di Varoni

Fin dalla sua fondazione nel 2005, Varonis ha adottato un approccio diverso nei confronti della maggior parte dei fornitori di sicurezza IT ponendo i dati aziendali archiviati sia on-premise che nel cloud al centro della sua strategia di sicurezza: file ed e-mail sensibili, informazioni riservate su clienti, pazienti e pazienti Documenti dei dipendenti, documenti finanziari, piani strategici e di prodotto e altra proprietà intellettuale. La Varonis Data Security Platform (DSP) rileva le minacce interne e gli attacchi informatici analizzando i dati, l'attività dell'account, la telemetria e il comportamento degli utenti, previene o mitiga le violazioni della sicurezza dei dati bloccando i dati sensibili, regolamentati e obsoleti e mantiene uno stato sicuro dei sistemi attraverso un'efficiente automazione.,

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

Crittografia dei dati: maggiore sicurezza sulle piattaforme cloud

Le piattaforme online sono spesso bersaglio di attacchi informatici, come recentemente è successo a Trello. 5 suggerimenti per garantire una crittografia dei dati più efficace nel cloud ➡ Leggi di più

Messaggi PR
, , , , ,