Microsoft ha corretto 83 vulnerabilità nei suoi prodotti con le patch rilasciate ieri sera. Due di esse sono zero-day. La prima era presente nella funzionalità Smart Screen di Windows (sfruttata per distribuire il ransomware Magniber), mentre la seconda era presente in Outlook e sfruttata da cybercriminali russi per attività di spionaggio contro aziende europee.
Pericolo per Outlook: installare subito la patch
La vulnerabilità zero-day, indicata con CVE-2023-23397, è stata scoperta e segnalata a Microsoft dal CERT (Computer Emergency Response Team) dell’Ucraina. Si tratta in dettaglio di una vulnerabilità critica che permetteva di ottenere privilegi elevati e rubare le credenziali di Windows senza l’interazione dell’utente. Il problema di sicurezza riguardava tutte le versioni di Outlook per Windows, ma non Outlook per macOS, web, Android, iOS e Microsoft 365.
La vulnerabilità viene sfruttata inviando email con proprietà MAPI che contiene percorsi UNC ad una condivisione SMB (TCP 445) sul server controllato dai cybercriminali. È sufficiente inviare un messaggio specifico che sfrutta il bug prima della sua visualizzazione nel pannello di anteprima. Il dispositivo della vittima trasmette al server remoto gli hash Net-NTLMv2 che possono essere utilizzati per futuri attacchi NTLM Relay.
Il CERT dell’Ucraina ha scoperto che la vulnerabilità è stata già sfruttata da un gruppo di cybercriminali russi (noto come Strontium, APT-28 o Fancy Bear) per colpire organizzazioni europee che operano in vari settori (militare, trasporti, energia). L’obiettivo è rubare le credenziali e le email di specifici target.
Microsoft consiglia di installare al più presto la patch. Se non è possibile si dovrebbero almeno bloccare con un firewall le connessioni SMB in uscita sulla porta TCP 445.