Outlook: Microsoft ha risolto un bug zero-click

I ricercatori di sicurezza del team di Akamai hanno segnalato l’esistenza di una vulnerabilità zero-click di Outlook, sfruttata per aggirare la patch rilasciata a marzo scorso da Microsoft, la quale è stata però già risolta dall’azienda.

Outlook: falla zero-click usata per aggirare la patch di marzo

Andando più in dettaglio, la falla, siglata come CVE-2023-23397, era relativa a tutte le versioni di Windows e consentiva di ottenere privilegi elevati e rubare le credenziali NTLM del sistema operativo senza necessitare di interazione da parte dell’utente.

Il tutto era possibile inviando email con proprietà MAPI contenente percorsi UNC ad una condivisione SMB sul server controllato dai criminali informatici che veicolavano il tutto.

I dettagli del bug erano stati forniti dal colosso di Redmond a fine marzo e in tale occasione l’azienda aveva indicato pure come riuscire a scovare un eventuale attacco. I ricercatori di Akamai hanno però scoperto che esisteva un modo per aggirare la patch.

È stata infatti individuata la vulnerabilità CVE-2023-29324, ovvero una sorta di soluzione alternativa alla falla CVE-2023-23397 che, secondo Akamai, è stata attivamente sfruttata l’anno scorso da presunti hacker russi per connettersi ad Outlook e rubare dati.

Akamai ha affermato che il problema è correlato alla complessa gestione dei percorsi in Windows, il che consente a un utente malintenzionato di creare un URL dannoso in grado di aggirare i controlli di sicurezza su Internet.

Al riguardo, Ben Barnea di Akamai, che per primo si è reso conto dello scenario, ha affermato “Questa vulnerabilità è un altro esempio di come l’analisi delle patch porta a nuove vulnerabilità e soluzioni alternative”.