Perché Microsoft ha appena corretto la patch che ha eliminato il bug di Outlook Under Attack • The Register

A marzo, Microsoft ha risolto un’interessante vulnerabilità in Outlook che i malintenzionati sfruttavano per far trapelare le credenziali di Windows delle vittime. Questa settimana, il gigante IT ha implementato quella correzione come parte del suo aggiornamento mensile del martedì.

Per ricordarti l’errore originale, è stato registrato come CVE-2023-23397: era possibile inviare un’e-mail a qualcuno con un promemoria con un suono di notifica personalizzato. Questo audio personalizzato può essere specificato come percorso URL all’interno dell’e-mail.

Se la persona sbagliata ha creato con cura la posta con quel percorso audio impostato su un server SMB remoto, quando Outlook recupera il messaggio e lo elabora, tracciando automaticamente il percorso del file server, consegnerà un hash Net-NTLMv2 all’utente che tenta di login. Ciò farà effettivamente trapelare l’hash a una parte esterna, che potrebbe potenzialmente utilizzare le credenziali per accedere ad altre risorse come quell’utente, consentendo agli hacker di esplorare i sistemi di rete interni, rubare documenti, impersonare la loro vittima e così via.

La patch di due mesi fa ha consentito a Outlook di utilizzare le funzionalità di Windows MapUrlToZone Per verificare dove punta realmente la colonna sonora della notifica, se è online verrà ignorata e verrà riprodotto il suono predefinito. Ciò avrebbe dovuto impedire al client di connettersi a un server remoto e perdere hash.

Si scopre che la protezione basata su MapUrlToZone può essere aggirata, il che ha spinto Microsoft a eseguire una correzione a marzo a maggio. Il bug originale è stato sfruttato in natura, quindi quando è arrivata la sua patch ha attirato l’attenzione di tutti. Questo interesse ha contribuito a rivelare che la riforma era incompleta.

E se lasciato incompleto, chiunque abusi del bug originale può utilizzare l’altra vulnerabilità per aggirare la patch originale. Per essere chiari, non è che la correzione CVE-2023-23397 non ha funzionato – ha funzionato – non è stato sufficiente per chiudere completamente il buco del file audio personalizzato.

Questa vulnerabilità è un altro esempio di controllo delle patch che porta a nuove vulnerabilità e abusi. Egli ha detto Ben Parnia di Akamai, che ha individuato e segnalato l’overflow di MapUrlToZone.

In particolare per questa vulnerabilità, l’aggiunta di un singolo carattere consente di aggirare una patch critica.

Fondamentalmente, mentre il primo bug era con Outlook, questo secondo problema con MapUrlToZone risiede nell’implementazione di Microsoft di questa funzionalità nell’API di Windows. Parnia scrive che ciò significa che la seconda patch non è per Outlook ma per la piattaforma MSHTML sottostante in Windows e che tutte le versioni del sistema operativo sono interessate da questo bug. Il problema è che il percorso generato in modo dannoso può essere passato a MapUrlToZone in modo che la funzione determini che il percorso non è verso Internet esterno quando lo è effettivamente quando l’applicazione arriva ad aprire il percorso.

Secondo Barnea, le e-mail possono contenere un promemoria che include un suono di notifica personalizzato specificato come percorso utilizzando una proprietà MAPI estesa utilizzando PidLidReminderFileParameter.

“Un utente malintenzionato potrebbe specificare un percorso UNC che farebbe sì che il client recuperi il file audio da qualsiasi server SMB”, ha spiegato. Come parte della connessione al server SMB remoto, viene inviato un hash Net-NTLMv2 in un messaggio di negoziazione.

Questo problema tecnico è stato abbastanza grave da ottenere un punteggio di gravità CVSS di 9,8 su 10 ed era stato sfruttato da un equipaggio diretto in Russia per circa un anno quando la correzione è stata rilasciata a marzo. La banda informatica lo ha utilizzato in attacchi contro organizzazioni nei governi europei, nonché nei settori dei trasporti, dell’energia e militari.

Per trovare un bypass per la patch originale di Microsoft, Barnea voleva creare un percorso che MapUrlToZone avrebbe etichettato come locale, intranet o zona attendibile, il che significa che Outlook poteva seguirlo in sicurezza, ma quando veniva passato alla funzione CreateFile per aprirlo, avrebbe reso il Il sistema operativo va a connettersi a un server remoto.

Alla fine ha scoperto che i bastardi potevano cambiare l’URL nei promemoria, il che ha indotto MapUrlToZone a controllare che i percorsi remoti fossero visti come percorsi locali. Questa operazione può essere eseguita con un singolo tasto, aggiungendo un secondo “\” al percorso UNC (Universal Naming Convention).

“Un utente malintenzionato non autenticato su Internet potrebbe sfruttare la vulnerabilità per costringere un client Outlook a connettersi a un server controllato dall’attaccante”, ha scritto Parnia. “Ciò comporta il furto delle credenziali NTLM. È una vulnerabilità non cliccabile, il che significa che può essere eseguita senza l’interazione dell’utente.”

Ha aggiunto che il problema sembra essere “il risultato della complessa gestione dei percorsi in Windows. … Riteniamo che questo tipo di confusione possa causare vulnerabilità in altri programmi che utilizzano MapUrlToZone in un percorso controllato dall’utente e quindi utilizzano un’operazione sui file (come CreateFile o app simili all’API) sullo stesso percorso.”

problema tecnico, CVE-2023-29324Ha un punteggio di gravità CVSS di 6,5. Microsoft consiglia le organizzazioni Riparazione Sia questa vulnerabilità – una patch è stata rilasciata come parte del Patch Tuesday di questa settimana – sia la precedente CVE-2023-23397.

Parnia ha scritto che spera che Microsoft rimuova la funzione del suono di promemoria personalizzato, affermando che pone più rischi per la sicurezza di qualsiasi potenziale valore per gli utenti.

“È una superficie di attacco di analisi dei media senza clic che può contenere vulnerabilità critiche di corruzione della memoria”, ha scritto. “Data l’onnipresenza di Windows, l’eliminazione di una superficie di attacco così matura potrebbe avere effetti molto positivi”. ®