Scoperto un nuovo zero-day collegato ad attacchi all'Ucraina

Microsoft scopre un nuovo zero-day in Outlook sfruttato da APT28 e Mandiant esorta ad applicare le ultime patch.

Avatar di Antonello Buzzi

a cura di Antonello Buzzi

Editor

Tramite un comunicato stampa, Microsoft ha rivelato che un nuovo zero-day (CVE-2023-23397) relativo a Outlook è stato scoperto e collegato ad attacchi ad infrastrutture critiche in Ucraina e in altri paesi a partire da aprile 2022. Mandiant, società di cybersecurity, ritiene che il gruppo APT28, affiliato all'intelligence militare russa GRU, abbia utilizzato questo zero-day per quasi un anno con lo scopo di colpire organizzazioni e infrastrutture critiche, al fine di raccogliere informazioni strategiche e preparare attacchi informatici disruptivi.

Mandiant ha creato il codice UNC4697 per monitorare gli attacchi legati a questo zero-day, che è stato impiegato contro settori governativi, logistici, oil&gas, della difesa e dei trasporti in Polonia, Ucraina, Romania e Turchia. Si prevede che altri attori statali e criminali adotteranno rapidamente l'exploit, cercando di sfruttare sistemi non aggiornati con le patch di sicurezza.

Sono già disponibili proof-of-concept per lo zero-day che non richiedono interazioni con l'utente. John Hultquist, responsabile di Mandiant Intelligence Analysis presso Google Cloud, sottolinea l'importanza di essere consapevoli che gli attacchi informatici potrebbero non limitarsi all'Ucraina e che gli attaccanti sono esperti nel eludere i controlli di sicurezza.

La vulnerabilità riguarda il client di posta Outlook e non necessita di interazione da parte dell'utente. Mandiant considera questa vulnerabilità ad alto rischio a causa della possibilità di escalation dei privilegi e del fatto che non richiede interazione o privilegi particolari per essere sfruttata.

Per sfruttare questa vulnerabilità, un attaccante deve creare un'email con un percorso UNC che punta a una condivisione SMB su un server controllato. Quando il client Outlook riceve ed elabora l'email, si attiva una connessione alla condivisione SMB, permettendo all'hacker di scoprire l'hash Net-NTLMv2 dell'utente e usarlo per autenticarsi ad altri computer o server della vittima. Questo tipo di attacco è comunemente chiamato Pass the Hash (PtH).

Per proteggersi da questa vulnerabilità, è fondamentale che le organizzazioni interessate applichino le patch di sicurezza pubblicate da Microsoft il più rapidamente possibile. Inoltre, è importante adottare misure di sicurezza aggiuntive, come l'implementazione di una rigorosa politica di aggiornamenti, la formazione degli utenti sulle minacce informatiche e l'utilizzo di soluzioni di protezione avanzate.