Microsoft ha pubblicato una guida che fornisce le misure che le organizzazioni possono adottare per valutare se gli utenti sono stati presi di mira o compromessi da autori di minacce che sfruttano la vulnerabilità di Outlook CVE-2023-23397 recentemente rilevata. Uno sfruttamento riuscito di questa vulnerabilità può provocare l’accesso non autorizzato all’ambiente di un’organizzazione attivando una fuga di hash Net-NTLMv2.
CVE-2023-23397 è un’elevazione critica della vulnerabilità dei privilegi in Microsoft Outlook su Windows. Viene sfruttata quando un autore di minacce invia un messaggio appositamente predisposto a un utente. Questo messaggio include la proprietà MAPI (Messaging Application Programming Interface) estesa di PidLidReminderFileParameter, che deve essere impostata su una condivisione del percorso UNC (Universal Naming Convention) su un server controllato da attori di minacce (tramite Server message block (SMB)/protocollo di controllo della trasmissione (TCP) porta 445).
Nello sfruttamento di CVE-2023-23397, gli attori delle minacce possono specificare il valore per PidLidReminderFileParameter in messaggi appositamente predisposti per attivare una fuga di hash Net-NTLMv2 ai server controllati dagli attori delle minacce.
L’utente non ha bisogno di interagire con il messaggio: se Outlook su Windows è aperto quando viene attivato il promemoria, consente lo sfruttamento. La connessione al server SMB remoto invia l’hash Net-NTLMv2 dell’utente in un messaggio di negoziazione, che l’autore della minaccia può a) inoltrare per l’autenticazione rispetto ad altri sistemi che supportano l’autenticazione NTLMv2 oppure b) eseguire il cracking offline per estrarre la password. Poiché si tratta di hash NTLMv2, non possono essere sfruttati come parte di una tecnica Pass-the-Hash. Tutte le versioni di Microsoft Outlook su Windows sono interessate. Outlook per Android, iOS, Mac e gli utenti che usano Outlook sul Web (OWA) senza usare il client Outlook non sono interessati.
Microsoft ha rintracciato le prove del potenziale sfruttamento di questa vulnerabilità già nell’aprile 2022.
Questa tecnica sfrutta il Transport Neutral Encapsulation Format (TNEF, un formato specifico di Microsoft per la trasmissione di messaggi di posta elettronica formattati. Un messaggio TNEF contiene una versione in testo normale del messaggio e un allegato che impacchetta la versione formattata originale del messaggio.
Outlook su Windows è progettato per consentire a un utente di specificare un file audio personalizzato associato a un promemoria. La modifica di questo valore imposta la proprietà MAPI estesa PidLidReminderFileParameter, che viene archiviata come proprietà associata all’oggetto di posta specifico. Uno strumento come MFCMAPI può essere utilizzato per visualizzare le proprietà MAPI estese associate a un oggetto.
Per ingannare ulteriormente gli utenti, gli attori delle minacce possono anche impostare la proprietà PidLidReminderTime in modo che rimanga dormiente nella cassetta postale fino a una data futura.
L’hash Net-NTLMv2 interessato appartiene all’utente che ha eseguito l’accesso al dispositivo Windows in cui è in esecuzione l’applicazione client Outlook, indipendentemente dall’identità che ha ricevuto il messaggio dannoso. Se l’utente non ignora l’avviso di promemoria/attività di Outlook o se il promemoria è ricorrente (ovvero si attiva più volte), l’hash Net-NTLMv2 dell’utente può essere trapelato più volte.
Microsoft sottolinea che l’interazione basata sul protocollo WebDAV non è a rischio di divulgazione di credenziali a indirizzi IP esterni tramite questa tecnica di exploit. Anche se l’infrastruttura degli attori delle minacce potrebbe richiedere l’autenticazione Net-NTLMv2, Windows rispetterà le zone di sicurezza Internet definite e non invierà hash Net-NTLMv2. Quindi, un attore malevolo può sfruttare questa vulnerabilità solo tramite il protocollo SMB. Se un dispositivo di destinazione può comunicare con l’infrastruttura di un attore di minacce esterno tramite la porta 445 (SMB), potrebbero essere inviati gli hash Net-NTLMv2; tuttavia, se questa comunicazione tramite SMB non è possibile, Windows tornerà a sfruttare WebDAV. WebDAV stabilirà una connessione con l’infrastruttura degli attori delle minacce, ma gli hash Net-NTLMv2 non verranno inviati.
Le organizzazioni dovrebbero utilizzare una strategia di ricerca delle minacce approfondita e completa per identificare potenziali compromissioni delle credenziali tramite CVE-2023-23397. Sebbene l’esecuzione dello script di scansione di Exchange fornito da Microsoft sia un primo passaggio efficace, questo script non fornisce visibilità sui messaggi dannosi per tutti gli scenari.
“Mentre sfruttare gli hash NTLMv2 per ottenere l’accesso non autorizzato alle risorse non è una tecnica nuova, lo sfruttamento di CVE-2023-23397 è nuovo e furtivo. Anche quando gli utenti hanno segnalato promemoria sospetti sulle attività, la revisione iniziale della sicurezza dei messaggi, delle attività o degli elementi del calendario coinvolti non ha portato al rilevamento dell’attività dannosa. Inoltre, la mancanza di qualsiasi interazione richiesta dall’utente contribuisce alla natura unica di questa vulnerabilità. In questo documento, Microsoft Incident Response ha messo in evidenza le tecniche di ricerca delle minacce e la strategia per lo sfruttamento di questo CVE, insieme ad alcune tecniche di ricerca per i comportamenti osservati degli attori delle minacce post-sfruttamento. Inoltre, si consiglia un’ampia caccia alle minacce per attività utente anomale coerenti con la compromissione delle credenziali”, conclude Microsoft.
La guida include anche raccomandazioni e indicatori di attacco per questa campagna.