Aggiornamenti recenti Gennaio 20th, 2025 3:02 PM
Mag 25, 2023 Marina Londei Attacchi, News, RSS, Vulnerabilità 0
La patch di Microsoft che avrebbe dovuto risolvere la vulnerabilità CVE-2023-23397 di Outlook si è rivelata a sua volta vulnerabile e quindi aggirabile dagli attaccanti. A scoprirlo è stato Ben Barnea, ricercatore di sicurezza di Akamai: analizzando la patch rilasciata da Microsoft, Barnea e il suo team hanno scoperto un modo per aggirare il fix, rendendolo del tutto inutile.
La prima vulnerabilità era stata individuata e patchata lo scorso marzo. Il bug permette agli attaccanti di inviare email contenenti un reminder con suono personalizzato, specificato sotto forma di path. L’attaccante può specificare un path UNC per fare in modo che il client cerchi il suono in un server SMB remoto.
Il tentativo di connessione rende noto l’hash del Net-NTLMv2 dell’utente; ottenendolo, un attaccante può estrapolare la password dell’account email dell’utente, o semplicemente usarlo per autenticarsi su altri servizi. La vulnerabilità è stata classificata come “critica”, anche perché è sufficiente che l’utente apra l’email senza cliccare alcun link per attivare la comunicazione e quindi la condivisione dell’hash.
Per sistemare la vulnerabilità Microsoft ha introdotto la chiamata alla funzione MapUrlToZone per verificare che il path del suono di Outlook non punti a un server esterno; in caso di URL esterno, il suono di notifica custom viene sostituito con quello di default, bloccando le connessioni verso server remoti.
Nell’analizzare l’effettiva efficacia del fix, il team di Akamai ha scoperto un modo per aggirare i controlli della funzione MapUrlToZone. Effettuando alcune prove i ricercatori hanno scoperto che specificando l’URL in forma di path di device locale, ovvero con doppio backslash iniziale, e aggiungendo poi un doppio backslash anche dopo l’UNC, la funzione riconosce l’URL come interno anche non lo è.
Nell’esempio riportato sul blog, il team ha prima testato il path \\.\UNC\Akamai.com\file.wav
, considerato dalla funzione come esterno, e poi \\.\UNC\\Akamai.com\file.wav
, identificato invece come interno e quindi sicuro.
Il problema è stato comunicato a Microsoft che ha deciso di rimuovere la proprietà che contiene l’URL del suono custom. L’azienda invita i suoi clienti a installare l’Outlook Security Update il prima possibile e nel frattempo rafforzare i metodi di autenticazione e la robustezza delle password.
Gen 17, 2025 0
Gen 16, 2025 0
Dic 27, 2024 0
Dic 12, 2024 0
Gen 20, 2025 0
Gen 20, 2025 0
Gen 15, 2025 0
Gen 13, 2025 0
Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 02, 2025 0
Oggi le aziende italiane non solo devono affrontare nuove e...Dic 31, 2024 0
Negli ultimi anni gli attacchi zero-day nei dispositivi...Dic 30, 2024 0
Nonostante gli sforzi per redigere e consegnare i report...Dic 23, 2024 0
Tempo di bilanci di fine anno anche per il mondo della...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Gen 20, 2025 0
SentinelOne ha annunciato che Purple AI, la soluzione di...Gen 20, 2025 0
Di queste, 29 erano mirate specificamente a obiettivi...Gen 17, 2025 0
Microsoft esteso i test per la feature Administrator...Gen 16, 2025 0
I ricercatori di ESET hanno scoperto una nuova...Gen 15, 2025 0
Un bug presente nel flusso di autenticazione degli account...