In occasione del Patch Tuesday di marzo 2023 Microsoft ha rilasciato l’aggiornamento per la vulnerabilità zero day tracciata come CVE-2023-23397: identificata in Microsoft Outlook per Windows, la falla potrebbe consentire a un attore delle minacce di rubare da remoto gli hash delle password semplicemente inviando un’e-mail malevola appositamente creata.
Dopo alcune indiscrezioni che riconducevano lo sfruttamento attivo della vulnerabilità al gruppo criminale filorusso Cozy Bear, il team di risposta agli incidenti della stessa Microsoft avrebbe ora individuato alcune tracce che confermerebbero l’exploiting della falla già da aprile 2022 in attacchi rivolti ai settori governativo, dei trasporti, energetico e militare in Europa, senza però fornire ulteriori dettagli in merito alla sua attribuzione.
In particolare, in una catena di attacchi descritta dagli esperti Microsoft, la vulnerabilità ha consentito agli aggressori di ottenere un accesso non autorizzato a un server Exchange e di modificare le autorizzazioni delle cartelle di posta elettronica per un accesso persistente che avrebbe consentito loro di inviare ulteriori messaggi dannosi per colpire altri membri della stessa organizzazione.
Indice degli argomenti
I dettagli della vulnerabilità zero-day in Outlook
La vulnerabilità CVE-2023-23397 è, infatti, di tipo Elevation of Privilege (elevazione dei privilegi) e, come dicevamo, potrebbe consentire a un attaccante di usare un’e-mail appositamente creata per forzare i dispositivi delle vittime a connettersi a una URL remota a cui viene successivamente trasmesso l’hash Net-NTLMv2 dell’account Windows compromesso.
Per comprendere meglio come avviene lo sfruttamento della vulnerabilità è utile fare un piccolo passo indietro ricordando cosa sono e come funzionano l’NTLM e l’hash di una password.
In particolare, l’NTLM (acronimo di NT LAN Manager) è un vecchio protocollo di autenticazione sviluppato dalla stessa Microsoft che viene ancora oggi utilizzato per gestire sia la procedura di autenticazione degli utenti in Windows sia l’autorizzazione per l’accesso alle risorse di rete.
L’hash di una password è, invece, una “trascrizione” delle credenziali utente effettuata mediante algoritmi crittografici che restituiscono una stringa binaria (detta “digest”) di lunghezza fissa. La peculiarità dell’hash è quella di essere non invertibile (one-way) e dunque non consente di risalire al valore iniziale.
Se l’hash delle credenziali di accesso memorizzato sulla risorsa di rete corrisponde con l’hash inviato alla risorsa stessa dall’utente, allora la procedura di autenticazione va a buon fine.
La debolezza di questo sistema “automatizzato” di accesso alle risorse di rete risiede nel fatto che NTLM utilizza vecchi algoritmi crittografici per la creazione dell’hash, che può quindi essere “facilmente” decifrato mediante tecniche di brute forcing.
Dunque, lo sfruttamento della vulnerabilità si basa sul fatto che i messaggi malevoli di posta elettronica attivano una connessione verso un percorso UNC (Uniform Naming Connection) a una risorsa condivisa SMB su porta TCP 445 controllata dall’attaccante, che può quindi usare l’hash Net-NTLMv2 trafugato alla vittima per autenticarsi al suo posto su altri servizi.
Inoltre, la gravità di questa vulnerabilità, come segnalato dalla stessa Microsoft nel relativo bollettino di sicurezza contenuto nel Patch Tuesday di marzo 2023, è data dal fatto che si innesca automaticamente prima che la mail venga letta nel riquadro di anteprima del client di posta Outlook, nel momento in cui viene recuperata ed elaborata dal server di posta elettronica. Per questo motivo si parla, anche, di attacco zero-click proprio perché la vittima viene compromessa senza che si accorga di alcuna attività malevola sul suo sistema.
Come controllare se i sistemi sono compromessi
Contestualmente al rilascio della patch per la vulnerabilità zero-day in Outlook, Microsoft ha pubblicato anche uno script PowerShell che consente di verificare la presenza di eventuali tracce di compromissione dei propri server Exchange in eventuali attacchi già subiti.
È bene sottolineare, però, che un eventuale risultato “negativo” nell’esecuzione dello script non certifica che i propri sistemi non siano stati compromessi.
Gli aggressori, infatti, potrebbero aver eliminato le tracce delle loro attività malevoli rendendo di fatto inutile lo stesso script PowerShell.
Per tale motivo, la stessa Microsoft consiglia di analizzare attentamente le attività dei server analizzando i log del firewall, dei proxy, di eventuali VPN o dei protocolli RDP (Remote Desktop Protocol). In seconda battuta, potrebbe essere utile monitorare anche gli accessi ad Azure Active Directory qualora gli utenti avessero accesso a Exchange Online.
Allo stesso tempo, è utile verificare la presenza di segni di compromissione anche negli endpoint della propria organizzazione, analizzando i registri degli eventi di Windows e, se disponibile, la telemetria delle soluzioni di rilevamento e risposta degli endpoint (EDR).
Come mitigare la vulnerabilità zero-day in Office
In ogni caso, è importante installare quanto prima l’aggiornamento della vulnerabilità CVE-2023-23397 già rilasciato da Microsoft in occasione del Patch Tuesday di marzo 2023, “indipendentemente dal luogo in cui è ospitata la posta (ad esempio, Exchange Online, Exchange Server, un’altra piattaforma) o dal supporto dell’organizzazione per l’autenticazione NTLM”, così come si legge nel bollettino di sicurezza pubblicato dal team Microsoft Incident Response.
Nello stesso bollettino di sicurezza gli stessi esperti Microsoft suggeriscono anche di adottare alcune misure di mitigazione del rischio per prevenire lo sfruttamento della vulnerabilità. Tra queste:
- Per le organizzazioni che utilizzano Microsoft Exchange Server on-premises, è necessario applicare gli ultimi aggiornamenti di sicurezza per garantire che le misure di mitigazione “defense-in-depth” siano attive.
- Qualora un utente dovesse risultare compromesso, è importante reimpostare le password di tutti gli account connessi ai computer con cui l’utente ha interagito e avviare le necessarie attività di risposta agli incidenti.
- È importante attivare sempre l’autenticazione a più fattori per mitigare l’impatto di potenziali attacchi Net-NTLMv2.
- Disattivare i servizi non necessari su Exchange.
- Limitare il traffico SMB bloccando le connessioni sulle porte 135 e 445 da tutti gli indirizzi IP in entrata, ad eccezione di quelli inseriti in un elenco controllato di permessi.
