Microsoft ha rilasciato aggiornamenti di sicurezza d’emergenza per Edge, Teams e Skype per correggere due vulnerabilità zero-day nelle librerie open-source utilizzate dai tre prodotti. Il primo bug è una vulnerabilità tracciata come CVE-2023-4863, causata da un overflow del buffer heap nella libreria di codice WebP, il cui impatto varia dai crash all’esecuzione arbitraria del codice. Il secondo, CVE-2023-5217, è anch’esso causato da un overflow del buffer heap nella codifica VP8 della libreria codec video libvpx, che potrebbe portare a crash dell’app o permettere l’esecuzione arbitraria del codice a seguito di un’exploit riuscito. La libreria libwebp viene utilizzata da un gran numero di progetti per la codifica e la decodifica delle immagini nel formato WebP, tra cui browser web moderni come Safari, Mozilla Firefox, Microsoft Edge, Opera e i browser web nativi di Android, così come app popolari come 1Password e Signal. Entrambe le vulnerabilità sono state etichettate come sfruttate nel wild quando sono state divulgate all’inizio di questo mese. Sebbene non ci siano informazioni sugli attacchi mirati alla vulnerabilità WebP, il Google Threat Analysis Group (TAG) e i ricercatori di Citizen Lab hanno rivelato che gli aggressori hanno utilizzato CVE-2023-5217 per distribuire lo spyware Predator di Cytrox.
Una recente campagna di phishing mira agli account Microsoft 365 di dirigenti chiave nelle organizzazioni statunitensi, abusando dei reindirizzamenti aperti dal sito di lavoro Indeed. L’attore della minaccia utilizza il servizio di phishing EvilProxy che può raccogliere cookie di sessione, utilizzabili per eludere i meccanismi di autenticazione a più fattori (MFA).
I ricercatori di Menlo Security riferiscono che i bersagli di questa campagna di phishing sono dirigenti e dipendenti di alto rango di vari settori, tra cui produzione elettronica, banche e finanza, immobiliare, assicurazioni e gestione immobiliare. Gli obiettivi ricevono email con un link indeed.com che sembra legittimo. Quando viene accesso, l’URL porta l’utente a un sito di phishing che funge da reverse proxy per la pagina di accesso di Microsoft.
EvilProxy è una piattaforma di phishing come servizio che utilizza reverse proxy per facilitare la comunicazione e inoltrare i dettagli dell’utente tra l’obiettivo e il vero servizio online, in questo caso Microsoft. Quando l’utente accede al proprio account tramite questo server di phishing, che imita la pagina di accesso autentica, l’attore della minaccia può catturare i cookie di autenticazione. Poiché gli utenti hanno già completato i passaggi MFA richiesti durante l’accesso, i cookie acquisiti danno ai cybercriminali pieno accesso all’account della vittima.