In occasione del tradizionale appuntamento con il Patch Tuesday Microsoft ha chiuso due vulnerabilità zero-day attivamente sfruttate, che richiedono una installazione immediata delle patch. La prima delle due è monitorata con la sigla CVE-2023-23397, è relativa all'escalation di privilegi in Microsoft Outlook e consente agli attaccanti da remoto di rubare le password con hash semplicemente ricevendo una email. La criticità elevata è dimostrata dal punteggio CVSS assegnato, che è pari a 9.8 su 10.

Stando alle informazioni più recenti, i ricercatori avrebbero prove che dimostrano lo sfruttamento di questo bug già da metà aprile 2022, quando fu impiegato in attacchi di inoltro NTLM (Windows New Technology LAN Manager, un metodo di autenticazione utilizzato per accedere ai domini Windows utilizzando credenziali di accesso con hash). L’attribuzione degli attacchi in questione ha portato a Strontium (noto anche come APT28 o Fancy Bear), un gruppo APT che si ritiene operi in stretto legame con il servizio di intelligence russo GRU.

In sostanza, quello che accade è che se un attaccante remoto realizza una email appositamente predisposta, può forzare il dispositivo di destinazione a connettersi a una posizione UNC esterna sotto il suo controllo. Questo consegnerà al cyber criminale l'hash Net-NTLMv2 della vittima, così da permettergli di inoltrarlo a un altro servizio e autenticarsi con le credenziali della vittima.

La criticità elevata è data dal fatto che, come sottolinea Microsoft, la vulnerabilità "si attiva automaticamente quando viene recuperata ed elaborata dal server di posta elettronica". Ovviamente gli attacchi che sono stati portati avanti finora sono mirati a specifici indirizzi email.

La seconda falla zero-day attivamente sfruttata è monitorata con la sigla CVE-2023-24880 ed è relativa all'elusione della funzionalità di protezione di Windows SmartScree. Può essere sfruttata per creare file eseguibili che “eludono le difese Mark of the Web (MOTW), con conseguente perdita limitata di integrità e disponibilità di funzionalità di sicurezza come Protected View in Microsoft Office, basate appunto sul tagging MOTW", si legge nell'advisory di Microsoft.

A sfruttare questo bug nella sicurezza è il gruppo ransomware Magniber, che aveva sfruttato una falla simile (CVE-2022-44698) fino a quando Microsoft non ha pubblicato una correzione a dicembre 2022 che tuttavia, secondo ricercatori di terze parti, consisteva in un bypass e non nella correzione definitiva del problema, che si è pertanto ripresentato.

In chiusura vale la pena ricordare che, oltre alle due falle descritte sopra, nell’ultimo appuntamento del Patch Tuesday Microsoft ha chiuso altre 81 vulnerabilità. Complessivamente, quelle classificate come critiche erano nove, quelle di escalation dei privilegi erano 21, quelle RCE 27.