Scoperta Vulnerabilità di Outlook: Come Proteggere le Password NTLM da Attacchi Cibernetici
Scoperta Vulnerabilità in Microsoft Outlook: Come Proteggere le Password NTLM da Minacce Cibernetiche
Una recente scoperta nel mondo della sicurezza informatica ha rivelato una falla di sicurezza in Microsoft Outlook, ormai corretta, che potrebbe essere stata sfruttata da attori minacciosi per accedere alle password NT LAN Manager (NTLM) v2.
Questa vulnerabilità, identificata come CVE-2023-35636 con un punteggio CVSS di 6.5, è stata affrontata da Microsoft durante gli aggiornamenti Patch Tuesday di dicembre 2023.
Il Modo in Cui la Vulnerabilità Opera
Nel contesto di un attacco via email, gli aggressori avrebbero potuto sfruttare la vulnerabilità inviando un file appositamente creato all’utente e convincendolo ad aprirlo.
Questo tipo di attacco richiede l’inganno diretto degli utenti, che devono essere indotti a fare clic su un link presente in una email di phishing o in un messaggio istantaneo, aprendo poi il file in questione.
In alternativa, in uno scenario di attacco basato sul web, un attaccante avrebbe potuto ospitare un sito web contenente un file appositamente creato, progettato per sfruttare la vulnerabilità.
Questo apre la possibilità di attacchi su larga scala, specialmente se il sito web è compromesso e accetta o ospita contenuti forniti dagli utenti.
La Radice del Problema: Funzione di Condivisione Calendario in Outlook
La vulnerabilità, denominata CVE-2023-35636, ha la sua origine nella funzione di condivisione calendario dell’applicazione di posta elettronica Outlook. Un messaggio email malevolo viene creato inserendo due intestazioni, “Content-Class” e “x-sharing-config-url”, con valori manipolati.
Questo processo mira a esporre l’hash NTLM di una vittima durante l’autenticazione.
Il ricercatore di sicurezza di Varonis, Dolev Taler, accreditato per la scoperta del bug, ha evidenziato che gli hash NTLM possono essere rivelati sfruttando strumenti come Windows Performance Analyzer (WPA) e Windows File Explorer.
Tuttavia, è importante notare che questi metodi di attacco rimangono non corretti nonostante la risoluzione della vulnerabilità principale.
Le Implicazioni e le Misure di Sicurezza Consigliate
Ciò che rende questa situazione particolarmente interessante è che WPA tenta di autenticarsi utilizzando NTLM v2 su internet aperto. In circostanze normali, NTLM v2 dovrebbe essere utilizzato solo quando si tenta di autenticarsi contro servizi basati su indirizzi IP interni.
Tuttavia, quando l’hash NTLM v2 transita attraverso l’Internet aperto, diventa vulnerabile a attacchi di relay e di forza bruta offline.
L’annuncio di Microsoft, datato ottobre 2023, riguardante i piani di abbandonare l’uso di NTLM in Windows 11 a favore di Kerberos, evidenzia l’importanza di migliorare la sicurezza, considerando che NTLM non supporta metodi crittografici ed è suscettibile ad attacchi di relay.
Conclusione
In conclusione, la scoperta di questa vulnerabilità sottolinea l’importanza di rimanere vigili nei confronti delle minacce cibernetiche in continua evoluzione.
Gli utenti sono fortemente incoraggiati ad adottare misure di sicurezza aggiuntive, come l’aggiornamento regolare del software e la consapevolezza delle pratiche di sicurezza online.
La comunità della sicurezza informatica rimane impegnata nella ricerca e nella risoluzione di queste sfide per garantire un ambiente online più sicuro per tutti.