Aggiornamenti recenti Settembre 21st, 2023 2:00 PM
Mag 25, 2023 Marina Londei Attacchi, News, RSS, Vulnerabilità 0
La patch di Microsoft che avrebbe dovuto risolvere la vulnerabilità CVE-2023-23397 di Outlook si è rivelata a sua volta vulnerabile e quindi aggirabile dagli attaccanti. A scoprirlo è stato Ben Barnea, ricercatore di sicurezza di Akamai: analizzando la patch rilasciata da Microsoft, Barnea e il suo team hanno scoperto un modo per aggirare il fix, rendendolo del tutto inutile.
La prima vulnerabilità era stata individuata e patchata lo scorso marzo. Il bug permette agli attaccanti di inviare email contenenti un reminder con suono personalizzato, specificato sotto forma di path. L’attaccante può specificare un path UNC per fare in modo che il client cerchi il suono in un server SMB remoto.
Il tentativo di connessione rende noto l’hash del Net-NTLMv2 dell’utente; ottenendolo, un attaccante può estrapolare la password dell’account email dell’utente, o semplicemente usarlo per autenticarsi su altri servizi. La vulnerabilità è stata classificata come “critica”, anche perché è sufficiente che l’utente apra l’email senza cliccare alcun link per attivare la comunicazione e quindi la condivisione dell’hash.
Pixabay
Per sistemare la vulnerabilità Microsoft ha introdotto la chiamata alla funzione MapUrlToZone per verificare che il path del suono di Outlook non punti a un server esterno; in caso di URL esterno, il suono di notifica custom viene sostituito con quello di default, bloccando le connessioni verso server remoti.
Nell’analizzare l’effettiva efficacia del fix, il team di Akamai ha scoperto un modo per aggirare i controlli della funzione MapUrlToZone. Effettuando alcune prove i ricercatori hanno scoperto che specificando l’URL in forma di path di device locale, ovvero con doppio backslash iniziale, e aggiungendo poi un doppio backslash anche dopo l’UNC, la funzione riconosce l’URL come interno anche non lo è.
Nell’esempio riportato sul blog, il team ha prima testato il path \\.\UNC\Akamai.com\file.wav
, considerato dalla funzione come esterno, e poi \\.\UNC\\Akamai.com\file.wav
, identificato invece come interno e quindi sicuro.
Il problema è stato comunicato a Microsoft che ha deciso di rimuovere la proprietà che contiene l’URL del suono custom. L’azienda invita i suoi clienti a installare l’Outlook Security Update il prima possibile e nel frattempo rafforzare i metodi di autenticazione e la robustezza delle password.
Set 20, 2023 0
Set 15, 2023 0
Set 07, 2023 0
Ago 30, 2023 0
Set 21, 2023 0
Set 21, 2023 0
Set 20, 2023 0
Set 19, 2023 0
Set 19, 2023 0
Uno dei modi migliori per condividere idee e favorire la...Set 18, 2023 0
I dispositivi IoT stanno trasformando l’operatività...Set 18, 2023 0
La sicurezza delle password è un aspetto cruciale per...Set 13, 2023 0
Il fenomeno dei ransomware non si arresta e, anzi, continua...Set 13, 2023 0
Il furto di account rimane uno dei principali problemi di...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Set 21, 2023 0
Nel corso di Innovation 2023, Intel ha annunciato il...Set 21, 2023 0
Sale la tensione tra Pechino e Washington: la Cina ha...Set 20, 2023 0
Earth Lusca è ancora in attività: il gruppo...Set 20, 2023 0
I ricercatori di Wiz, compagnia di sicurezza per il...Set 19, 2023 0
HWG, azienda di servizi gestiti e consulenza cyber, e...