Scritto da Redazione Serverlab
Condividi su
Microsoft Security Response Center (MSRC), il 14 marzo 2023, ha reso nota una vulnerabilità 0-day identificata tramite la CVE-2023-23397. Colpisce Microsoft Outlook e il livello di pericolosità è molto alto perchè lo score CVSS v3 è pari a 9.8/10. Questa falla potrebbe essere utilizzata da un utente malevolo per elevare i propri privilegi sui dispositivi identificati come target e prenderne il controllo.
Questa vulnerabiltà è stata sanata dal vendor nella Patch Tuesday di marzo e, come sempre avviene in questi casi, il produttore chiede di aggiornare il componente interessato il prima possibile.
Queste le release interessate:
- Microsoft 365 Apps for Enterprise – 32 e 64 bit
- Microsoft Office LTSC 2021 – 32 e 64 bit
- Microsoft Outlook 2016 – 32 e 64 bit
- Microsoft Outlook 2013 Service Pack 1 – 32 e 64 bit
- Microsoft Outlook 2013 RT Service Pack 1
- Microsoft Office 2019 – 32 e 64 bit
Chi può sfruttare queste vulnerabilità:
Questa vulnerabilità può consentire ad un utente malevolo di acquisire l’hash NTLM di un account Windows tramite l’invio di una email creata per questo scopo. In particolare, la ricezione di tale email – con proprietà MAPI estesa e contenente un path UNC verso un server SMB (porta 445) – comporta il tentativo di connessione automatica da parte del client al server remoto. Tutto questo avviene sotto il controllo dell’attaccante con successivo invio del messaggio di negoziazione NTLM all’utente vittima. Queste operazioni avvengono senza alcun segnale per l’utente, infatti non necessitano di alcuna interazione. Questa vulnerabilità potrebbe poi essere utilizzata come attacco di tipo NTLM Relay verso altri servizi utente.
Lo scopo? Aumentare i propri privilegi all’interno del sistema compromesso per assumerne il pieno controllo. Si parla di Privilege Escalation e Session Hijacking
L’elevazione di privilegi è una minaccia grave di sicurezza. Un utente con privilegi limitati, se riesce ad ottenere maggiori permessi, ad esempio diventando amministratore o root, può acquisire accesso ai dati o funzionalità del sistema che normalmente non sarebbero a disposizione dell’utente standard. Per questo motivo, è importante che i sistemi informatici siano adeguatamente protetti e che vengano adottate tutte le misure di sicurezza necessarie a prevenire qualsiasi elevazione di privilegi.
Il session hijacking o dirottamento di sessione consente all’attaccante di assumere il controllo di un account utente legittimo e di accedere ai dati o funzionalità di sistema.
Cosa bisogna fare:
Non mi stancherò mai di dire che è indispensabile mantenere i sistemi sempre aggiornati e che esistono sistemi che consentono la corretta gestione dei privilegi di amministratore come BeyondTrust.
Se hai bisogno di supporto compila il modulo di contatto, sarò felice di aiutarti.
Riferimenti
https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/
https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
https://www.microsoft.com/en-us/security/blog/2023/03/24/guidance-for-investigating-attacks-using-cve-2023-23397/
Ottimizza l’efficienza del tuo lavoro e risparmia sui costi di gestione IT
In un intervento televisivo il procuratore capo di Napoli ha sollevato preoccupazioni concrete riguardo alle vulnerabilità che minacciano tutti noi, evidenziando la necessità di un'informatica che tuteli la privacy e prevenga accessi non autorizzati ai nostri dati.
13/12/2024
La soluzione che ci permette di monitorare e gestire l'infrastruttura IT dei nostri clienti totalmente da remoto.
10/07/2024
Esplora la funzionalità Always On di SQL Server in questo approfondimento dettagliato. Scopri le differenze tra l'edizione Enterprise e Standard.
07/05/2024
La versione gratuita di Microsoft Outlook ruba i dati dal tuo Computer per rivenderle. Vediamo insieme cosa fare.
15/04/2024