Un ricercatore di sicurezza ha individuato una grave vulnerabilità presente in Outlook: per questa falla Microsoft ha rilasciato già una patch questo mese, ma incompleta, nonostante abbia ricevuto il report sulla stessa ben 18 mesi fa.
CVE-2018-0950
La vulnerabilità in questione è la CVE-2018-0950 e consente ad un attaccante di sottrarre informazioni sensibili, comprese le credenziali di login dell'utente Windows, semplicemente convincendo una vittima a visualizzare in anteprima una email con Microsoft Outlook senza ulteriori interazioni da parte dell'utente stesso.
La vulnerabilità è stata individuata da Will Dormann del CERT Coordination Center (CERT/CC) e risiede nella maniera in cui Outlook esegue il rendering di contenuti OLE ospitati in remoto quando viene visualizzato in anteprima un messaggio di posta RTF, avviando in automatico le connessioni SMB. Un attaccante remoto può sfruttare questa falla inviando una email RTF alla vittima designata, contenendo un file immagine ospitato in remoto, caricato dal server SMB controllato dall'attaccante.
Come funziona l'attacco
A partire dal momento in cui Outlook rende i contenuti OLE (tra l'altro ormai divenuti comuni vettori di attacco) automaticamente, avvierà in automatico anche l'autenticazione col server remoto controllato dall'attaccante, passando il nome utente della vittima e la versione hash della password, consentendo potenzialmente all'autore dell'attacco di accedere al sistema della vittima. |
| Fonte: thehackernews.com |
"Questo può consentire il furto dell'indirizzo IP dell'utente, del nome del dominio, dell'username, dell'hostname, della password hash. Se la password dell'utente non è sufficientemente complessa, allora un attaccante può essere in grado di crackarla in poco tempo" spiegano dallo US/CERT.
La patch
Dormann afferma di aver segnalato il problema a Microsoft nel Novembre 2016: Microsoft, in attesa di trovare una soluzione, ha rilasciato un fix incompleto nel suo April 2018 patch Tuesday update. La patch di sicurezza per ora impedisce solamente che Outlook possa avviare automaticamente la connessione SMB quando viene visualizzata in preview una mail RTF, ma Dormann specifica che questo non previene del tutto gli attacchi SMB.
"E' importante realizzate che, nonostante questa patch, un utente è ancora a pochi passi dal rischio di cadere vittima del tipo di attacco sopra descritto" spiega Dormann. "Ad esempio se un messaggio di posta elettronica ha un collegamento in stile UNC che inizia con "\\", fare clic sul collegamento avvia comunque la connessione SMB al server specificato".
"E' importante realizzate che, nonostante questa patch, un utente è ancora a pochi passi dal rischio di cadere vittima del tipo di attacco sopra descritto" spiega Dormann. "Ad esempio se un messaggio di posta elettronica ha un collegamento in stile UNC che inizia con "\\", fare clic sul collegamento avvia comunque la connessione SMB al server specificato".
 | |
|
Come mitigare i rischi
Dato che la patch (comunque consigliata) non è sufficiente, ecco qualche altro consiglio:
- blocca specifiche porte (445/tcp, 137/tcp, 139/tcp, along with 137/udp and 139/udp) usate per le sessioni SMB in entrata e uscita;
- usa password più complesse possibile: sarà difficile crackarle anche nel caso in cui venisse sottratto l'hash;
- non fare clic su link sospetti contenuti nelle email.
Nessun commento:
Posta un commento