Sono emersi dettagli tecnici su due vulnerabilità di sicurezza in Microsoft Windows, recentemente corrette, che potrebbero essere sfruttate dagli attori delle minacce per eseguire codice in remoto sul servizio di posta elettronica Outlook senza alcuna interazione da parte dell’utente.
Vulnerabilità e Impatto
Le vulnerabilità, corrette da Microsoft rispettivamente nell’agosto e nell’ottobre 2023, sono le seguenti:
- CVE-2023-35384 (punteggio CVSS: 5.4) – Vulnerabilità di bypass della funzione di sicurezza delle piattaforme HTML di Windows.
- CVE-2023-36710 (punteggio CVSS: 7.8) – Vulnerabilità di esecuzione remota di codice nel core di Windows Media Foundation.
Descrizione delle Vulnerabilità
La CVE-2023-35384 è stata descritta da Akamai come un bypass per una grave vulnerabilità di sicurezza che Microsoft aveva corretto nel marzo 2023, tracciata come CVE-2023-23397 (punteggio CVSS: 9.8). Questa vulnerabilità è legata a un caso di escalation dei privilegi che potrebbe portare al furto di credenziali NTLM e consentire a un attaccante di condurre un attacco di relay.
Utilizzo delle Vulnerabilità da Parte degli Attori delle Minacce
All’inizio di questo mese, Microsoft, Proofpoint e Palo Alto Networks Unit 42 hanno rivelato che un attore di minacce russo noto come APT29 ha attivamente sfruttato il bug per ottenere accesso non autorizzato agli account delle vittime all’interno dei server Exchange.
Dettagli Tecnici e Mitigazione
La CVE-2023-35384, come la CVE-2023-29324, è radicata nell’analisi di un percorso dalla funzione MapUrlToZone che potrebbe essere sfruttata inviando un’email contenente un file dannoso o un URL a un client Outlook. Questa vulnerabilità può essere utilizzata non solo per far trapelare le credenziali NTLM, ma può anche essere concatenata con la vulnerabilità di parsing del suono (CVE-2023-36710) per scaricare un file audio personalizzato che, quando riprodotto automaticamente dalla funzione di suono di promemoria di Outlook, può portare a un’esecuzione di codice zero-click sulla macchina della vittima.
La CVE-2023-36710 colpisce il componente Audio Compression Manager (ACM) di Windows, un framework multimediale legacy utilizzato per gestire i codec audio, ed è il risultato di una vulnerabilità di overflow intero che si verifica durante la riproduzione di un file WAV.
Raccomandazioni per la Mitigazione
Per mitigare i rischi, si consiglia alle organizzazioni di utilizzare la microsegmentazione per bloccare le connessioni SMB in uscita verso indirizzi IP pubblici remoti. Inoltre, si consiglia di disabilitare NTLM o di aggiungere gli utenti al gruppo di sicurezza “Protected Users”, che impedisce l’uso di NTLM come meccanismo di autenticazione.