I ricercatori di Akamai hanno scoperto che la patch sviluppata per mitigare la vulnerabilità importante 0-click di Outlook CVE-2023-23397 è stata a sua volta violata.
Nel mese di marzo è stata annunciata una nuova vulnerabilità importante in un componente di Internet Explorer, identificata tramite la CVE-2023-29324 con un punteggio base di 6,5 del Common Vulnerability Scoring System (CVSS). La vulnerabilità permette a una funzione API di Windows – MapUrIToZone – di far credere erroneamente che un percorso remoto sia locale.
MapUrIToZone è comunemente utilizzata come misura di sicurezza. In particolare, è stata utilizzata per mitigare la vulnerabilità importante di Outlook CVE-2023-23397, risolta con una patch durante il Patch Tuesday di marzo. Un attaccante non autenticato su Internet potrebbe utilizzare la vulnerabilità per costringere un client Outlook a connettersi a un server controllato dall’attaccante. Questo comporta il furto delle credenziali NTLM. Si tratta di una vulnerabilità zero-click, che quindi può essere attivata senza alcuna interazione da parte dell’utente.
Tutte le versioni di Windows sono interessate dalla vulnerabilità, di conseguenza, tutte le versioni del client Outlook su Windows sono sfruttabili. Tuttavia, secondo Microsoft, i server Exchange con l’aggiornamento di marzo omettono la funzione vulnerabile, impedendo così lo sfruttamento dei client vulnerabili. ll problema è stato comunicato a Microsoft e affrontato nel Patch Tuesday di maggio 2023.
Secondo le stime di Microsoft Threat Intelligence, da circa un anno un attore russo utilizza la vulnerabilità in attacchi mirati contro diverse organizzazioni dei settori governativo, dei trasporti, energetico e militare in Europa.
Nell’ambito dell’analisi della patch, Akamai ha scoperto un modo per aggirare la correzione di questa vulnerabilità critica.
Il blogpost completo è disponibile al seguente link. In questo post si discute della vulnerabilità originale, della relativa patch e dell’aggiramento di tale patch.