Questa settimana Microsoft ha pubblicato il suo bollettino di sicurezza mensile, che contiene le patch per oltre 80 vulnerabilità dei suoi prodotti. Tuttavia, due di esse erano già state utilizzate dagli aggressori prima del rilascio delle patch. Una vulnerabilità riguarda tutte le versioni supportate di Outlook per Windows e consente agli aggressori di rubare gli hash Net-NTLMv2 per poi utilizzarli in attacchi relay NTLM (New Technology LAN Manager) contro altri sistemi. La seconda vulnerabilità permette invece agli aggressori di bypassare Microsoft SmartScreen, una tecnologia integrata in Windows che esegue controlli sui file scaricati da Internet attraverso i browser.

La falla NTLM hash-stealing sfruttata da un’APT sponsorizzata dallo stato russo

La vulnerabilità di Outlook, classificata come CVE-2023-23397, è descritta da Microsoft come un’elevazione dei privilegi ed è consideratacritica (9,8 su 10 sulla scala CVSS). A differenza delle vulnerabilità di esecuzione di codice da remoto, le vulnerabilità EoP sono raramente critiche perché in genere non possono essere sfruttate da remoto e l’attaccante deve già disporre di privilegi inferiori sul sistema.

Tuttavia, questa falla può essere sfruttata da aggressori remoti senza troppi sforzi. Secondo la descrizione di Microsoft, “l’aggressore potrebbe sfruttare questa vulnerabilità inviando un’e-mail appositamente creata che si attiva automaticamente quando viene recuperata ed elaborata dal client Outlook”. Ancora peggio, l’e-mail non deve essere aperta, cliccata o visualizzata in anteprima dall’utente: è infatti sufficiente riceverla, perché la falla si trova nel codice di Outlook che la elabora all’arrivo.

Più precisamente, un utente malintenzionato creerebbe il messaggio con una proprietà estesa dell’interfaccia di programmazione delle applicazioni di messaggistica (MAPI) che contiene un percorso UNC a una condivisione SMB (TCP 445) remota ospitata su un server controllato dall’utente malintenzionato. Server Message Block (SMB) è un protocollo di condivisione di file, reti e stampanti molto utilizzato nelle reti Windows che supporta anche la comunicazione tra processi.

L’autenticazione utilizzata con SMB è NTLM e ogni volta che un computer Windows cerca di accedere a una risorsa remota tramite SMB invia il suo hash NTLM, una rappresentazione crittografica delle sue credenziali che serve come token di autenticazione. Il furto degli hash NTLM consente un tipo di attacco chiamato NTLM relay o pass-the-hash, in cui un aggressore inganna un computer per inviare il suo hash e poi lo passa a un altro servizio legittimo che accetta l’autenticazione.

Microsoft attribuisce al CERT-UA, il Computer Emergency Response Team del governo ucraino, e al proprio team Microsoft Incident Response e Microsoft Threat Intelligence la segnalazione di questa vulnerabilità. L’azienda ha dichiarato che un attore di minacce con sede in Russia ha sfruttato questa vulnerabilità in attacchi mirati contro organizzazioni governative, di trasporto, energetiche e militari in Europa. Secondo quanto riportato, questo attore è STRONTIUM, noto nel settore della sicurezza anche come Fancy Bear o APT28. Il governo statunitense ha ufficialmente attribuito l’attività di Fancy Bear a un’unità chiamata Unit 26165 all’interno dell’agenzia di intelligence militare russa, la GRU.

Oltre a patchare i client Outlook sui sistemi Windows, le organizzazioni possono bloccare il traffico in uscita dalle loro reti sulla porta TCP 445/SMB e disabilitare il servizio WebClient sui loro computer, impedendo così gli attacchi WebDAV. Inoltre, Microsoft consiglia di aggiungere gli account con privilegi elevati, come gli amministratori di dominio o altri account sensibili, al gruppo di sicurezza degli utenti protetti. In questo modo si impedisce a questi utenti di utilizzare NTLM come meccanismo di autenticazione. Il team di Microsoft Exchange ha sviluppato separatamente uno script che può essere utilizzato dagli amministratori di Exchange Server o Exchange Online per determinare se i loro utenti sono stati bersagliati da e-mail dannose che hanno cercato di sfruttare questa vulnerabilità.

outlook smartscreen

“Data la semplicità con cui questa vulnerabilità può essere sfruttata, crediamo che sia solo una questione di tempo prima che venga adottata nei playbook di altri attori delle minacce, compresi i gruppi di ransomware e i loro affiliati” ha dichiarato Satnam Narang, senior staff research engineer della società di sicurezza Tenable. “Prevediamo che CVE-2023-23397 diventerà una delle principali vulnerabilità del 2023”. I ricercatori della società di sicurezza MDSec hanno già creato un exploit proof-of-concept, il che significa che l’exploit può facilmente diffondersi a gruppi meno sofisticati delle APT sponsorizzate dai governi.

Anche la vulnerabilità di bypass di SmartScreen è stata patchata

La seconda vulnerabilità zero-day patchata durante il Patch Tuesday è classificata come CVE-2023-24880 ed è stata segnalata a Microsoft a febbraio dai membri del Threat Analysis Group di Google (TAG). La vulnerabilità consente agli aggressori di creare file che aggirano la finestra di avviso di sicurezza visualizzata da Windows quando gli utenti cercano di aprire un file non attendibile scaricato da Internet. Windows segnala automaticamente tali file con un Mark-of-the-Web (MotW), ovvero un Alternate Data Stream (ADS) all’interno del flusso NTFS di un file quando questo viene salvato localmente (NTFS è il file system predefinito utilizzato da Windows). Questo ADS è chiamato ZoneId e se ha un valore di 3 il file è stato scaricato da internet e viene controllato da SmartScreen.

SmartScreen è una tecnologia anti-phishing e anti-malware abilitata dal cloud che è nata in Internet Explorer e Edge, ma che è stata integrata di default in Windows a partire da Windows 8. È stata progettata appositamente per verificare la reputazione dei file scaricati da Internet.

Secondo Google TAG, gli aggressori hanno sfruttato la vulnerabilità utilizzando file MSI (Microsoft Installer) firmati con una firma Authenticode non valida ma appositamente creata. Le firme costringono SmartScreen a restituire un errore e ad aggirare l’avviso di sicurezza. TAG ha osservato oltre 100.000 download di file MSI dannosi da gennaio 2023, di cui oltre l’80% a utenti europei, ha dichiarato Google TAG.

È probabile che altri gruppi adottino questo bypass di SmartScreen nelle loro campagne di distribuzione di malware, come già accaduto in passato. A settembre, il ransomware Magniber è stato distribuito utilizzando file JScript con una firma Authenticode allegata. Normalmente tali firme non sono destinate ai file JScript ma agli eseguibili, ma i ricercatori si sono resi conto che erano state allegate ai file JScript per corrompere SmartScreen e bypassare i suoi controlli di sicurezza.

In seguito, altre minacce hanno iniziato a utilizzare la stessa tecnica e lo stesso bypass per diffondere il malware Qakbot, suggerendo che gli aggressori di Magniber e Qakbot hanno acquistato il bypass dalla stessa fonte. Alla fine Microsoft ha applicato una patch a questa vulnerabilità nel dicembre 2022 (CVE-2022-44698), ma sembra che la patch non copra tutte le varianti.

“Questo bypass di sicurezza è un esempio di una tendenza più ampia che Project Zero ha evidenziato in precedenza: i fornitori spesso rilasciano patch limitate, creando un’opportunità per gli aggressori di iterare e scoprire nuove varianti”, hanno dichiarato i membri del Google TAG. “Poiché la causa principale del bypass di sicurezza SmartScreen non è stata affrontata, gli aggressori sono stati in grado di identificare rapidamente una variante diversa del bug originale”.