Un laboratorio di sicurezza ha scoperto una grave vulnerabilità in Microsoft Outlook che colpisce aziende governative, militari, energetiche e di trasporto europee viene usato. La vulnerabilità ha la designazione CVE-2023-23397 ed è classificata secondo il Common Vulnerability Scoring System (CVSS) con un valore di 9.8. Il BSI dice anche: L'attacco si verifica prima che l'e-mail venga aperta o prima che venga visualizzata nella finestra di anteprima - non è necessaria alcuna azione da parte del destinatario!
La vulnerabilità consente a un utente malintenzionato non autorizzato di compromettere i sistemi con un'e-mail appositamente predisposta. Questa e-mail dannosa gli consente l'accesso non autorizzato alle credenziali del destinatario.
Gli attacchi aumenteranno
"Ora che sono già state pubblicate le prime prove di concetto, si può presumere che gli attacchi alla vulnerabilità CVE-2023-23397 aumenteranno", spiega Umut Alemdar, Head of Security Lab di Hornetsecurity. "Pertanto, consigliamo a tutti gli utenti di Microsoft Outlook di installare le patch di sicurezza fornite da Microsoft il prima possibile."
Grazie all'Advanced Thread Protection (ATP), il moderno sistema di sicurezza di Hornetsecurity è in grado di mettere in quarantena le email che vogliono sfruttare questa vulnerabilità. "Questo impedisce alle e-mail di raggiungere la posta in arrivo della vittima", continua Alemdar. “Grazie ad ATP, i nostri clienti sono già protetti da questo pericolo. Inoltre, il Security Lab di Hornetsecurity si è posto il compito di monitorare il panorama delle minacce con occhi d'aquila per continuare a garantire ai nostri clienti la migliore protezione possibile contro le più recenti minacce informatiche".
Attacco prima dell'anteprima
La vulnerabilità di Outlook è già stata avviata dal client Outlook che recupera ed elabora un'e-mail dannosa. Un attacco può quindi verificarsi anche prima che l'e-mail venga visualizzata nella finestra di anteprima. L'attaccante dirige la sua vittima in un ambiente che controlla. Ciò fa trapelare l'hash Net-NTLMv2 della vittima, un protocollo challenge-response utilizzato per l'autenticazione in ambienti Windows. L'attaccante può passare queste informazioni a un altro servizio, autenticandosi così come vittima e compromettendo ulteriormente il sistema.
L'attacco risulta essere meno complesso e, secondo Microsoft, è già stato osservato nella pratica. La vulnerabilità è stata utilizzata per attaccare le società governative, militari, energetiche e di trasporto europee. Microsoft è stata informata per la prima volta di CVE-2023-233397 dal CERT-UA (Computer Emergency Response Team for Ukraine). Un proof-of-concept creato dal team Security Lab di Hornetsecurity mostra che l'attacco è particolarmente difficile da rilevare: tutti i servizi anti-malware e sandbox inclusi in VirusTotal non sono riusciti a classificarlo come pericoloso.
Altro su Hornetsecurity.com
Informazioni sulla sicurezza Hornet Hornetsecurity è il principale fornitore tedesco di sicurezza cloud per la posta elettronica in Europa e protegge l'infrastruttura IT, la comunicazione digitale e i dati di aziende e organizzazioni di tutte le dimensioni. Lo specialista della sicurezza di Hannover fornisce i suoi servizi tramite 10 data center protetti in modo ridondante in tutto il mondo. Il portafoglio di prodotti comprende tutte le aree importanti della sicurezza della posta elettronica, dai filtri antispam e antivirus all'archiviazione e alla crittografia conformi alla legge alla difesa da frodi e ransomware del CEO. Hornetsecurity è rappresentata a livello globale con circa 200 dipendenti in 12 sedi e opera con la sua rete di rivenditori internazionali in più di 30 paesi.