Alcuni ricercatori di sicurezza hanno condiviso i dettagli tecnici per sfruttare una vulnerabilità critica di Microsoft Outlook per Windows (CVE-2023-23397) che consente agli hacker di rubare in remoto le password con hash semplicemente ricevendo un’e-mail. Il problema deriva da una vulnerabilità di escalation dei privilegi con un livello di gravità 9,8 che interessa tutte le versioni di Microsoft Outlook su Windows.
Un utente malintenzionato può utilizzarla per rubare le credenziali NTLM inviando al destinatario un’e-mail dannosa. Non è necessaria alcuna interazione da parte dell’utente poiché l’exploit si verifica quando Outlook è aperto e il promemoria viene attivato sul sistema. Windows New technology LAN Manager (NTLM) è un metodo di autenticazione utilizzato per accedere ai domini Windows utilizzando credenziali di accesso con hash. Sebbene l’autenticazione NTLM comporti rischi noti, viene ancora utilizzata sui nuovi sistemi per la compatibilità con i sistemi precedenti. Funziona con gli hash delle password che il server riceve da un client quando tenta di accedere a una risorsa condivisa, come le condivisioni SMB. Se rubati, questi hash possono essere utilizzati per l’autenticazione sulla rete.
MDSec ha condiviso un video che mostra come sfruttare la vulnerabilità critica appena corretta in Microsoft Outlook:
La vulnerabilità è stata trovata e segnalata a Microsoft dal Computer Emergency Response Team (CERT-UA) dell’Ucraina, probabilmente dopo averla vista utilizzata in attacchi mirati ai suoi servizi. Secondo Microsoft, “un attore di minacce con sede in Russia” ha sfruttato la vulnerabilità in attacchi mirati contro diverse organizzazioni europee nei settori governativo, dei trasporti, dell’energia e militare. Si ritiene che il gruppo di hacker dietro gli attacchi sia APT28 (alias Strontium, Fancy Bear, Sednit, Sofacy), collegato alla Direzione principale dello Stato maggiore delle Forze armate della Federazione Russa (GRU).
Dopo aver ottenuto l’accesso, gli hacker utilizzano spesso i framework open source Impacket e PowerShell Empire per estendere l’attacco e passare a sistemi più preziosi sulla rete, oltre a raccogliere informazioni. Si consiglia vivamente agli amministratori di dare la priorità all’applicazione di patch per la CVE-2023-23397 e di utilizzare lo script di Microsoft per verificare la presenza di segni di sfruttamento osservando se gli elementi di messaggistica in Exchange sono dotati di un percorso UNC.