[ALL-APM] Sfruttamento in corso di una vulnerabilita' Microsoft Outlook

Cari colleghi APM,

e' stato riscontrato lo sfruttamento attivo di una vulnerabilita' critica, CVE-2023-23397, per Microsoft Office Outlook che puo' permettere ad un attaccante remoto di compiere escalation di privilegi.

La vulnerabilita' permette di prendere l’hash NTLM dell'account Windows della vittima tramite la ricezione di una email opportunamente predisposta con proprietà MAPI estesa e contenente un path UNC verso un server SMB (dst port TCP/445). In questo modo l'attaccante si connette ad un server remoto SMB permettendo di inviare gli hash NTML dell'utente.

Questo processo si presta a trafugare hash di credenziali e utilizzarle anche verso altri servizi, attraverso opportuno utilizzo di NTML relay.

L'impatto provoca una escalation di privilegi Considerato critico: punteggio CVSS v3: 9.8

Il software interessato alla vulnerabilita' riguarda tutte le versioni di Microsoft Outlook per WINDOWS, mentre non sono affette le versioni per Android, iOS, Mac, ne' Outlook via web ne' altri servizi M365.

*** Soluzioni ***

La vulnerabilita' e' stata gia' sanata con gli aggiornamenti Microsoft usciti recentemente, si consiglia quindi di fare aggiornamento prima possibile all'ultima versione di Microsoft Outlook per Windows disponibile.

Gli aggiornamenti si trovano nel "Security Patch" erogati da Microsoft il 15 marzo 2023.

Per default l'installazione degli aggiornamenti avviene in maniera automatica.

Per verificare manualmente la disponibilita' di aggiornamenti e aggiornare i sistemi scegliere Start > Impostazioni > Aggiornamento e Sicurezza > Windows Update

Windows Update domande frequenti
https://support.microsoft.com/it-it/help/12373/windows-update-faq

 

*** Rilevamento compromissione ***
Microsoft ha sviluppato un sistema di mitigazione e monitoraggio, per coloro che utilizzano il server di posta Microsoft Exchange, tramite uno script reperibile a questo indirizzo
https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/

 

*** Mitigazione ***
Come ulteriore azione di mitigazione e buona pratica in generale, consigliamo di bloccare tutte le connessioni in uscita dalla propria struttura verso la porta SMB TCP/445 esclusi i casi di necessita'

 

*** Riferimenti ***

GARR-CERT Alert
https://www.cert.garr.it/alert/security-alerts/listid-1/mailid-2618-alert-gcsa-23039-vulnerabilita-in-microsoft-office-outlook

Microsoft
https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/
https://msrc.microsoft.com/update-guide/vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/

Restiamo a disposizione per eventuali domande

------------------------------------------------------------------
Simona Venuti          G A R R - C E R T      tel: +39 055 4572 666
Italian Academic and Research Network            http://www.garr.it
Computer Security Incident Response Team    http://www.cert.garr.it
PGP key: https://www.cert.garr.it/it/pgp/garr-cert-pgp-keys
------------------------------------------------------------------