Microsoft ha risolto un bug che generava falsi avvisi di sicurezza in Outlook quando si aprivano file di calendario .ICS, a seguito degli aggiornamenti di sicurezza di Outlook Desktop di dicembre 2023. Gli aggiornamenti di Patch Tuesday di dicembre, che hanno causato queste avvertenze imprecise, correggevano la vulnerabilità di divulgazione di informazioni di Microsoft Outlook CVE-2023-35636, che poteva essere sfruttata dagli aggressori per rubare hash NTLM attraverso file elaborati in modo malevolo.
Gli utenti di Microsoft 365 colpiti da questo problema visualizzavano finestre di dialogo che li avvertivano di un “potenziale problema di sicurezza identificato da Microsoft Office” e che “questa posizione potrebbe essere non sicura” quando facevano doppio clic su file ICS salvati localmente.
Risposta e Soluzione di Microsoft
Microsoft ha individuato una soluzione per questo problema, che è stata implementata con la Versione 2404 Build 17531.20000 di Outlook per Microsoft 365 nel Canale Beta. Gli utenti del Canale Corrente possono aspettarsi di ricevere la correzione il 30 aprile. Una volta testata in produzione, la correzione sarà retroportata alla Versione 2402 per il Canale Enterprise Semi-Annual (Anteprima) durante il Patch Tuesday di giugno 2024.
Misure Temporanee
Fino al rilascio della correzione a tutti gli utenti interessati, coloro che stanno riscontrando il problema possono utilizzare una chiave di registro per disabilitare temporaneamente le notifiche di sicurezza errate. Tuttavia, è importante notare che, una volta implementato questo workaround, verranno disabilitati anche gli avvisi di sicurezza per tutti gli altri tipi di file potenzialmente pericolosi.
Gli utenti di Outlook colpiti possono anche disabilitare le finestre di dialogo di avviso seguendo le istruzioni nel documento di supporto ‘Abilitare o disabilitare i messaggi di avviso dei collegamenti ipertestuali nei programmi di Office‘.
Outlook colabrodo?
Questo non è il primo problema noto di Outlook che Microsoft ha dovuto affrontare recentemente. La società ha risolto lo scorso mese un altro problema noto che causava l’interruzione della sincronizzazione di alcuni client desktop di Outlook con i server di posta elettronica tramite Exchange ActiveSync. Microsoft ha anche affrontato un bug che causava problemi di connessione su Outlook.com per client di posta elettronica desktop e mobile a febbraio.