I ricercatori di Akamai hanno scoperto una vulnerabilità in una patch che Microsoft ha rilasciato a marzo del 2023 per correggere una debolezza critica di Outlook. Ci sono quindi aziende che credono di essere protette e invece lo sono soltanto potenzialmente.
Nello specifico, Ben Barnea di Akamai ha scoperto un modo per aggirare la patch che Microsoft ha fornito per correggere la vulnerabilità di Outlook, etichettata come CVE-2023-23397. Per bucare l’efficacia della patch, è stata sfruttata una falla di un componente di Internet Explorer, elemento questo sul quale ci soffermeremo più avanti.
Prima di procedere è bene sottolineare che Microsoft ha già posto riparo a questa ulteriore debolezza, distribuendo la patch opportuna che mette la parola fine su quello che, se non altro dal punto di vista operativo, è stato uno scivolone nel quale occorre entrare in dettaglio per comprendere la complessità del contesto dell’informatica distribuita.
Vulnerabilità in Outlook già sfruttata in rete: ecco i consigli Microsoft per difendersi
Indice degli argomenti
La vulnerabilità di Outlook
Microsoft a marzo è intervenuta per mettere una pezza a una vulnerabilità che permetteva a un attaccante di dirottare la connessione di un client Outlook affinché si collegasse a un server diverso da quello stabilito, con conseguenze nefaste per le autenticazioni Ntlm.
Ntlm è da intendere come una suite di protocolli di autenticazione che prevede l’autorizzazione di un client a un server mediante una combinazione di nome utente e password. È, in pratica, il sistema tipico con cui un utente si collega a un servizio e, nel caso di Outlook, dirottando l’instradamento del client, gli attaccanti sarebbero potuti entrare in possesso delle autorizzazioni Ntlm degli utenti.
L’impiego di una debolezza di Internet Explorer per superare le correzioni apportate con la patch impone una riflessione: c’è un rapporto simbiotico tra software diversi e questo, in un ambiente specifico quale è un sistema operativo, rappresenta un ulteriore rischio tanto per il funzionamento dei software in sé quanto per la loro sicurezza. Poco importa che Internet Explorer sia nel frattempo stato dismesso da Microsoft, perché diverse aziende ne fanno ancora uso per eseguire applicazioni web based non recentissime.
In questo caso la vulnerabilità permetteva a una funzione Api di Windows (MapUrlToZone) di sovrascrivere un percorso locale con uno remoto, consentendo così di connettere il client Outlook a un server esterno e diverso da quello ufficiale.
Le vulnerabilità e le patch
Non è la prima volta che le patch vengono bypassate. In tempi recenti, siamo a marzo del 2023, ricercatori di Google hanno scoperto come degli attaccanti hanno usato il ransomware Magniber aggirando una vulnerabilità di SmartScreen che Microsoft aveva risolto in precedenza.
Tuttavia, come spiega Pierluigi Paganini, esperto di cyber security ed intelligence, le patch hanno sempre un ruolo fondamentale: “Le patch vanno sempre installate per garantire la resilienza dei sistemi ad attacchi che ne sfruttano vulnerabilità. L’importanza è massima quando le falle sono già oggetto di sfruttamento da parte di attori malevoli in campagne in corso”.
Non è del tutto atipico che una patch venga violata, conferma Paganini: “Ciò è possibile perché una volta rilasciato un aggiornamento di sicurezza, ricercatori e gruppi di attaccanti effettuano un reverse engineering della patch per studiarne il modo con cui risolve una falla e determinare se il processo di risoluzione è realmente definitivo. In diversi casi è emerso che le patch riuscissero a risolvere un sottoinsieme dei possibili vettori di attacco di una medesima falla, aprendo le porte allo sviluppo di exploit in grado di eludere la patch adottando altri pattern di attacco”.
Gli accorgimenti, conclude Paganini, non sono molti: “Gli utenti dovrebbero essere in grado di testare un sistema su cui è stata installata la patch per comprendere se le falle risolte sono ancora sfruttate. Queste verifiche richiedono tuttavia uno sforzo non trascurabile e conoscenze specifiche che la maggior parte delle aziende non hanno”.
Pierguido Iezzi, Ceo dell’azienda di sicurezza Swascan, sottolinea una differenza sostanziale: “Forse parlare di patch violata, in questo caso è errato. Si tratta più di un effetto cascata, come hanno indicato anche altri esperti. La possibilità che una patch di sicurezza vada accidentalmente a riabilitare una vulnerabilità già chiusa o una nuova vulnerabilità non è remota né impossibile, soprattutto quando si parla di sistemi complessi e pervasivi”.
Anche in questo caso ci sono precedenti illustri, spiega Iezzi: “Soprattutto quando si parla di sistemi complessi e pervasivi. Ci sono stati diversi casi. In un aggiornamento del Patch Tuesday di febbraio 2020, Microsoft ha rilasciato una serie di patch per risolvere una serie di vulnerabilità critiche. Tuttavia, una delle patch ha introdotto un’altra vulnerabilità in Windows 10 e Windows Server 2019 che poteva permettere a un attaccante di eseguire codice maligno a livello di sistema. Un caso analogo è stato affrontato da Apple a settembre 2021. Una patch per il suo sistema operativo macOS è stata facilmente aggirata semplicemente cambiando la capitalizzazione del testo”.
Aggiornare i sistemi e applicare tutte le patch è una politica saggia e dovuta: “Nel caso specifico una vulnerabilità zero-click come la CVE-2023-23397 è potenzialmente molto pericolosa, ne è testimonianza il suo utilizzo da parte di alcuni gruppi APT. Detto questo, Microsoft ha già provveduto a diramare le giuste direttive per chiudere entrambe le falle, ed è sufficiente affidarsi a buoni sistemi di patch management per non incorrere in questo potenziale rischio. Un consiglio che, d’altronde, è nelle golden rules e best practice di ogni organizzazione che ha a cuore l’integrità del proprio perimetro digitale”, conclude Iezzi.
Troviamo uno spunto propositivo: patch e aggiornamenti sono obbligatori ma, da soli, possono non bastare nell’immediato. Ci vuole una corretta cultura della sicurezza tra tutti i collaboratori di un’organizzazione e, non da ultimo, il personale ITC deve essere formato e costantemente aggiornato.
