Una recente minaccia alla sicurezza informatica ha messo a rischio milioni di organizzazioni a causa di un Microsoft Outlook critico per Windows vulnerabilità. Questa vulnerabilità, CVE-2023-23397, consente agli hacker di rubare password con hash inviando e-mail in remoto. Ciò mette le aziende in pericolo di compromissione dei propri dati e sistemi sensibili, con conseguenti perdite finanziarie, danni alla reputazione e responsabilità legali.
In risposta a questa minaccia, Microsoft ha rilasciato una PowerShell script che gli amministratori possono utilizzare per verificare se qualche utente nel proprio ambiente Exchange è stato interessato da questa vulnerabilità di Outlook. Questo script può aiutare a identificare elementi dannosi e consentire agli amministratori di eliminarli o eliminarli definitivamente. Lo script può anche modificare o rimuovere messaggi potenzialmente dannosi su un server Exchange attendibile.
Tuttavia, questa vulnerabilità non è facile da rilevare e, anche con lo script PowerShell, le organizzazioni sono ancora a rischio. Dominic Chell, membro del Red Team di MDSec, ha scoperto che è facile per gli hacker sfruttare questo bug e rubare gli hash NTLM utilizzando un calendario in Microsoft Outlook. Chell lo ha scoperto utilizzando”PidLidReminderFileParameter“all’interno degli elementi di posta ricevuti, un hacker può aggiungere un percorso UNC per attivare l’autenticazione NTLM e rubare gli hash NTLM.
Gli hash NTLM rubati possono quindi essere utilizzati per eseguire attacchi NTLM Relay, consentendo agli hacker di accedere alle reti aziendali. Gli aggressori possono anche raccogliere hash e autenticarsi rispetto a un indirizzo IP al di fuori della zona o dei siti intranet attendibili utilizzando attività, note o e-mail di Microsoft Outlook.
Per proteggere la tua organizzazione da questa minaccia, è fondamentale applicare immediatamente il rilascio correggere la vulnerabilità, aggiungere utenti al gruppo Utenti protetti in Active Directory e bloccare SMB in uscita (porta TCP 445) come misura temporanea per ridurre al minimo l’impatto degli attacchi.
Le organizzazioni dovrebbero anche istruire i dipendenti su identificare e-mail di phishing e altri messaggi sospetti. Ciò include la ricerca di strani collegamenti, allegati o richieste di informazioni sensibili. Garantire che tutto il software e i sistemi vengano aggiornati regolarmente con le patch di sicurezza più recenti è essenziale.
Le organizzazioni devono adottare misure proattive per proteggersi da questa minaccia, inclusa l’implementazione delle soluzioni consigliate da Microsoft e la formazione dei propri dipendenti. Le aziende possono evitare di diventare vittime di questa vulnerabilità e proteggere i propri dati e sistemi sensibili rimanendo vigili e adottando le misure necessarie.