I ricercatori di Akamai hanno scoperto che la patch sviluppata per mitigare la vulnerabilità importante 0-click di Outlook CVE-2023-23397 è stata a sua volta violata.

Microsoft Outlook

Nel mese di marzo è stata annunciata una nuova vulnerabilità importante in un componente di Internet Explorer, identificata tramite la CVE-2023-29324 con un punteggio base di 6,5 del Common Vulnerability Scoring System (CVSS). La vulnerabilità permette a una funzione API di Windows – MapUrIToZone – di far credere erroneamente che un percorso remoto sia locale.

bikMapUrIToZone è comunemente utilizzata come misura di sicurezza. In particolare, è stata utilizzata per mitigare la vulnerabilità importante di Microsoft Outlook CVE-2023-23397, risolta con una patch durante il Patch Tuesday di marzo. Un attaccante non autenticato su Internet potrebbe utilizzare la vulnerabilità per costringere un client Outlook a connettersi a un server controllato dall’attaccante. Questo comporta il furto delle credenziali NTLM. Si tratta di una vulnerabilità zero-click, che quindi può essere attivata senza alcuna interazione da parte dell’utente.

Tutte le versioni di Windows sono interessate dalla vulnerabilità, di conseguenza, tutte le versioni del client Microsoft Outlook su Windows sono sfruttabili. Tuttavia, secondo Microsoft, i server Exchange con l’aggiornamento di marzo omettono la funzione vulnerabile, impedendo così lo sfruttamento dei client vulnerabili. ll problema è stato comunicato a Microsoft e affrontato nel Patch Tuesday di maggio 2023.

Secondo le stime di Microsoft Threat Intelligence, da circa un anno un attore russo utilizza la vulnerabilità in attacchi mirati contro diverse organizzazioni dei settori governativo, dei trasporti, energetico e militare in Europa.

Le imprese sono quindi chiamate a mantenere sempre alto il proprio livello di sicurezza ed adottare una strategia pensata per ridurre al minimo le possibilità di violazione grazie anche alla continua formazione