Anche la tipica sicurezza della posta elettronica non ti proteggerà da questa intelligente vulnerabilità in Outlook. Fortunatamente, non sei impotente.

Gli hacker sono costantemente alla ricerca di nuovi modi per infiltrarsi nelle reti sicure. Questa è una sfida difficile perché tutte le aziende responsabili investono nella sicurezza. Un metodo che sarà sempre efficace, tuttavia, è l'uso di nuove vulnerabilità nei prodotti software più diffusi.

Recentemente è stata scoperta una vulnerabilità in Outlook che consente agli hacker di rubare le password semplicemente inviando un'e-mail al titolare dell'account. È stata rilasciata una patch, ma molte aziende non hanno ancora aggiornato la propria versione di Outlook.

Quindi cos'è questa vulnerabilità e in che modo le aziende possono difendersi da essa?

Qual è la vulnerabilità CVE-2023-23397?

La vulnerabilità CVE-2023-23397 è una vulnerabilità di escalation dei privilegi che interessa Microsoft Outlook in esecuzione su Windows.

Si ritiene che questa vulnerabilità sia stata utilizzata da aprile a dicembre 2022 da attori statali nazionali contro un'ampia varietà di industrie. Una patch è stata rilasciata a marzo 2023.

instagram viewer

Sebbene il rilascio di una patch significhi che le organizzazioni possono facilmente difendersi da essa, il fatto che ora sia ampiamente pubblicizzato significa che il rischio per le aziende che non applicano la patch è aumentato.

Non è raro che le vulnerabilità utilizzate inizialmente dagli stati nazionali vengano ampiamente utilizzate da singoli hacker e gruppi di hacker una volta che la loro disponibilità è nota.

Chi è preso di mira dalla vulnerabilità di Microsoft Outlook?

La vulnerabilità CVE-2023-23397 è efficace solo contro Outlook in esecuzione su Windows. Gli utenti Android, Apple e web non sono interessati e non hanno bisogno di aggiornare il loro software.

È improbabile che i privati ​​vengano presi di mira perché farlo non è redditizio come prendere di mira un'azienda. Se un privato utilizza Outlook per Windows, tuttavia, dovrebbe comunque aggiornare il proprio software.

È probabile che le aziende siano l'obiettivo principale perché molte utilizzano Outlook per Windows per proteggere i propri dati importanti. La facilità con cui l'attacco può essere eseguito e la quantità di aziende che utilizzano il software indicano che è probabile che la vulnerabilità si dimostri popolare tra gli hacker.

Come funziona la vulnerabilità?

Questo attacco utilizza un'e-mail con proprietà specifiche che fa sì che Microsoft Outlook riveli l'hash NTLM della vittima. NTLM sta per New Technology LAN Master e questo hash può essere utilizzato per l'autenticazione dell'account della vittima.

L'e-mail acquisisce l'hash utilizzando un file MAPI (Microsoft Outlook Messaging Application Programming Interface) che contiene il percorso di una condivisione Server Message Block controllata da aggressore.

Quando Outlook riceve questo messaggio di posta elettronica, tenta di autenticarsi nella condivisione SMB utilizzando il proprio hash NTLM. L'hacker che controlla la condivisione SMB è quindi in grado di accedere all'hash.

Perché la vulnerabilità di Outlook è così efficace?

CVE-2023-23397 è una vulnerabilità effettiva per una serie di motivi:

  • Outlook è utilizzato da un'ampia varietà di aziende. Questo lo rende attraente per gli hacker.
  • La vulnerabilità CVE-2023-23397 è facile da usare e non richiede molte conoscenze tecniche per essere implementata.
  • È difficile difendersi dalla vulnerabilità CVE-2023-23397. La maggior parte degli attacchi basati su e-mail richiede che il destinatario interagisca con l'e-mail. Questa vulnerabilità è efficace senza alcuna interazione. Per questo motivo, educare i dipendenti sulle email di phishing o dire loro di non scaricare allegati e-mail (ovvero i metodi tradizionali per evitare e-mail dannose) non ha alcun effetto.
  • Questo attacco non utilizza alcun tipo di malware. Per questo motivo, non verrà rilevato dal software di sicurezza.

Cosa succede alle vittime di questa vulnerabilità?

La vulnerabilità CVE-2023-23397 consente a un utente malintenzionato di ottenere l'accesso all'account della vittima. L'esito dipende quindi da ciò a cui la vittima ha accesso. L'attaccante può rubare dati o lanciare un attacco ransomware.

Se la vittima ha accesso a dati privati, l'aggressore può rubarli. In caso di informazioni sui clienti, può essere venduto sul dark web. Questo non è solo problematico per i clienti, ma anche per la reputazione dell'azienda.

L'attaccante potrebbe anche essere in grado di crittografare informazioni private o importanti utilizzando il ransomware. Dopo un attacco ransomware riuscito, tutti i dati sono inaccessibili a meno che l'azienda non paghi all'aggressore un pagamento di riscatto (e anche in questo caso, i criminali informatici potrebbero decidere di non decrittografare i dati).

Come verificare se si è interessati dalla vulnerabilità CVE-2023-23397

Se ritieni che la tua azienda possa essere già stata colpita da questa vulnerabilità, puoi controllare automaticamente il tuo sistema utilizzando uno script PowerShell di Microsoft. Questo script cerca i tuoi file e cerca i parametri utilizzati in questo attacco. Dopo averli trovati, puoi eliminarli dal tuo sistema. È possibile accedere allo script tramite Microsoft.

Come proteggersi da questa vulnerabilità

Il modo ottimale per proteggersi da questa vulnerabilità è aggiornare tutto il software Outlook. Microsoft ha rilasciato una patch il 14 marzo 2023 e, una volta installata, qualsiasi tentativo di questo attacco sarà inefficace.

Sebbene l'applicazione di patch al software dovrebbe essere una priorità per tutte le aziende, se per qualche motivo non è possibile raggiungere questo obiettivo, esistono altri modi per impedire che questo attacco abbia successo. Loro includono:

  • Blocca TCP 445 in uscita. Questo attacco utilizza la porta 445 e se non è possibile alcuna comunicazione tramite quella porta, l'attacco non avrà successo. Se hai bisogno della porta 445 per altri scopi, dovresti monitorare tutto il traffico su quella porta e bloccare tutto ciò che va a un indirizzo IP esterno.
  • Aggiungere tutti gli utenti al gruppo di sicurezza utente protetto. Qualsiasi utente in questo gruppo non può utilizzare NTLM come metodo di autenticazione. È importante notare che ciò potrebbe anche interferire con qualsiasi applicazione che si basa su NTLM.
  • Richiedi a tutti gli utenti di disabilitare l'impostazione Mostra promemoria in Outlook. Ciò potrebbe impedire l'accesso alle credenziali NTLM da parte dell'attaccante.
  • Richiedi a tutti gli utenti di disabilitare il servizio WebClient. È importante notare che ciò impedirà tutte le connessioni WebDev anche su Intranet e pertanto non è necessariamente un'opzione adatta.

È necessario correggere la vulnerabilità CVE-2023-23397

La vulnerabilità CVE-2023-23397 è significativa a causa della popolarità di Outlook e della quantità di accesso che fornisce a un utente malintenzionato. Un attacco riuscito consente al cyberattaccante di ottenere l'accesso all'account della vittima che può essere utilizzato per rubare o crittografare i dati.

L'unico modo per proteggersi adeguatamente da questo attacco è aggiornare il software Outlook con la patch necessaria che Microsoft ha reso disponibile. Qualsiasi azienda che non riesce a farlo è un bersaglio attraente per gli hacker.