Outlook può rivelare la password del proprio account utente

Microsoft ha rilasciato un aggiornamento per risolvere un’importante falla di sicurezza in Outlook, peraltro già nota dal 2016.
L’autore della scoperta, Will Dormann, analista presso il CERT Coordination Center (CERT/CC) statunitense, ha analizzato l’aggiornamento per le varie versioni di Office rilasciato nella giornata di ieri (nel corso del “patch day” di aprile 2018) accorgendosi che Microsoft non ha risolto il problema alla base preferendo invece porre in essere una soluzione parziale.

Outlook effettua il rendering degli oggetti OLE remoti integrati nei messaggi di posta elettronica in modo automatico, senza nulla chiedere all’utente.
Una caratteristica che, evidentemente, è stata sfruttata dai criminali informatici per sferrare attacchi mirati e provare ad eseguire codice nocivo sul sistema degli utenti.

Lo stesso Dormann afferma di essere riuscito a sottrarre le credenziali di accesso degli account utente (per la precisione, gli hash NTLM) dai sistemi Windows sui quali risulta installato Outlook.
Il ricercatore è riuscito nell’intento inviando sul sistema vulnerabile un’email contenente un riferimento a un oggetto OLE che, a sua volta, inviava richieste di connessione verso un server SMB remoto e malevolo.

Per impostazione predefinita, al caricamento dell’oggetto OLE contenuto nel messaggio di posta, Windows prova ad effettuare una connessione al server SMB remoto condividendo l’hash NTLM dell’account utente in uso (si tratta di una “leggerezza” peraltro conosciuta da tempo: Disattivate il download automatico dei file nel browser: attacchi in vista).

L’aggressore non deve far altro che raccogliere gli hash NTLM, effettuare un’attività di cracking offline per risalire alla password dell’utente quindi usare le credenziali così trovate per accedere ai file memorizzati sul PC della vittima e nelle cartelle condivise in rete locale.

La patch CVE-2018-0950 distribuita ieri esclude soltanto la possibilità di usare oggetti OLE all’interno delle email per forzare la connessione verso server SMB remoti. Dormann, però, mette in evidenza come il problema non sia stato affatto risolto alla radice.
Basterebbe ad esempio inserire nell’email link UNC verso server SMB: un utente che cliccasse su tale link rivelerebbe automaticamente a terzi l’hash NTLM del suo account.