Aggiornamenti recenti Settembre 1st, 2025 4:40 PM
Mag 25, 2023 Marina Londei Attacchi, News, RSS, Vulnerabilità 0
La patch di Microsoft che avrebbe dovuto risolvere la vulnerabilità CVE-2023-23397 di Outlook si è rivelata a sua volta vulnerabile e quindi aggirabile dagli attaccanti. A scoprirlo è stato Ben Barnea, ricercatore di sicurezza di Akamai: analizzando la patch rilasciata da Microsoft, Barnea e il suo team hanno scoperto un modo per aggirare il fix, rendendolo del tutto inutile.
La prima vulnerabilità era stata individuata e patchata lo scorso marzo. Il bug permette agli attaccanti di inviare email contenenti un reminder con suono personalizzato, specificato sotto forma di path. L’attaccante può specificare un path UNC per fare in modo che il client cerchi il suono in un server SMB remoto.
Il tentativo di connessione rende noto l’hash del Net-NTLMv2 dell’utente; ottenendolo, un attaccante può estrapolare la password dell’account email dell’utente, o semplicemente usarlo per autenticarsi su altri servizi. La vulnerabilità è stata classificata come “critica”, anche perché è sufficiente che l’utente apra l’email senza cliccare alcun link per attivare la comunicazione e quindi la condivisione dell’hash.
Pixabay
Per sistemare la vulnerabilità Microsoft ha introdotto la chiamata alla funzione MapUrlToZone per verificare che il path del suono di Outlook non punti a un server esterno; in caso di URL esterno, il suono di notifica custom viene sostituito con quello di default, bloccando le connessioni verso server remoti.
Nell’analizzare l’effettiva efficacia del fix, il team di Akamai ha scoperto un modo per aggirare i controlli della funzione MapUrlToZone. Effettuando alcune prove i ricercatori hanno scoperto che specificando l’URL in forma di path di device locale, ovvero con doppio backslash iniziale, e aggiungendo poi un doppio backslash anche dopo l’UNC, la funzione riconosce l’URL come interno anche non lo è.
Nell’esempio riportato sul blog, il team ha prima testato il path \\.\UNC\Akamai.com\file.wav
, considerato dalla funzione come esterno, e poi \\.\UNC\\Akamai.com\file.wav
, identificato invece come interno e quindi sicuro.
Il problema è stato comunicato a Microsoft che ha deciso di rimuovere la proprietà che contiene l’URL del suono custom. L’azienda invita i suoi clienti a installare l’Outlook Security Update il prima possibile e nel frattempo rafforzare i metodi di autenticazione e la robustezza delle password.
Ago 01, 2025 0
Lug 21, 2025 0
Lug 04, 2025 0
Giu 25, 2025 0
Set 01, 2025 0
Ago 29, 2025 0
Ago 27, 2025 0
Ago 26, 2025 0
Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Ago 04, 2025 0
I chatbot basati su modelli linguistici di grandi...Lug 29, 2025 0
Tra le minacce più recenti che stanno facendo tremare il...Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 01, 2025 0
Qualche giorno fa la Counter Threat Unit di Sophos ha...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 27, 2025 0
Google ha deciso di aumentare la sicurezza dei dispositivi...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Ago 25, 2025 0
Il gruppo pakistano APT36, noto anche come Transparent...