Almeno dal mese di aprile 2022, una vulnerabilità di sicurezza presente in Outlook è stata sfruttata da gruppi di aggressori remoti per lanciare attacchi nei confronti di aziende ed enti pubblici europei (agenzie governative, militari, energetiche e dei trasporti).
La falla di sicurezza in questione, contraddistinta dall’identificativo CVE-2023-23397, è stata finalmente corretta da Microsoft con il rilascio delle patch di marzo 2023.
In assenza della correzione, un aggressore remoto può inviare un’email verso un sistema vulnerabile e sottrarre gli hash NTLM associati agli account utente presenti sulla macchina. Si tratta di un attacco zero-click perché non necessita di alcun intervento da parte degli utenti che, in assenza dell’aggiornamento di sicurezza, subiscono passivamente l’aggressione.
NTLM (NT LAN Manager) è un protocollo di autenticazione sviluppato da Microsoft che è ormai considerato superato ma che viene ancora utilizzato per autenticare gli utenti in Windows e per l’autorizzazione degli accessi alle risorse di rete.
L’hash NTLM altro non è che una trasposizione cifrata delle credenziali di ciascun utente: quando un utente prova ad accedere, ad esempio, a una risorsa di rete l’hash delle credenziali inserite viene confrontato con l’hash memorizzato in precedenza. Se i due valori corrispondono, allora l’autorizzazione di accesso viene concessa.
Il fatto è che NTLM non usa algoritmi crittografici moderni, come AES o SHA-256: ciò rende gli hash delle password vulnerabili a semplici attacchi di brute forcing sferrati ad esempio con programmi per il password cracking come John The Ripper o HashCat.
Per un aggressore, una volta conosciuti gli hash NTLM degli account utente configurati in Windows, è molto semplice invertire la funzione e risalire alla password in chiaro.
Controllare se si fosse subìto un attacco
Microsoft ha innanzitutto rilasciato uno script PowerShell per controllare eventuali attacchi già subìti in precedenza sui propri sistemi.
Eseguendo lo script, gli amministratori possono accertare se qualche utente di Exchange sia stato in passato preso di mira dagli aggressori.
Se, come spesso accade, i criminali informatici avessero rimosso le loro tracce, Microsoft suggerisce che gli amministratori IT dovrebbero provare a individuare eventuali indicatori di compromissione esaminando i log di firewall, proxy, VPN e gateway RDP, nonché i registri degli accessi effettuati a Azure Active Directory per gli utenti di Exchange Online e i log di IIS per Exchange Server.
Mettersi al riparo da attacchi futuri nei confronti di Outlook
Posto che la patch per la falla CVE-2023-23397 dovrebbe essere installata quanto prima, indipendentemente da dove viene ricevuta e conservata la posta (Exchange Online, Exchange Server, qualche altra piattaforma…), Microsoft ricorda ancora una volta che bisognerebbe attivare l’autenticazione a due fattori e cessare l’adozione di NTLM.
Aggiungere gli account al Gruppo di sicurezza Utenti protetti impedisce l’uso di NTLM come meccanismo di autenticazione. L’utilizzo di questa misura di sicurezza è notevolmente più semplice rispetto agli altri metodi di disabilitazione di NTLM e mette al riparo da eventuali vulnerabilità che dovessero sfruttare bug similari.
Bloccare la porta TCP 445 utilizzata dal protocollo SMB in uscita dalla rete aziendale è altrettanto importante: ciò impedisce l’invio dei messaggi di autenticazione NTLM verso sistemi remoti.
Maggiori informazioni sulle migliori pratiche da seguire per proteggere Outlook ed Exchange Server sono pubblicate in una nota che Microsoft ha diffuso dopo gli aggiornamenti correttivi di marzo 2023.