Microsoft rende noto lo zero-day Outlook (CVE-2023-23397): Mandiant ritiene che sia stato utilizzato per colpire organizzazioni e infrastrutture critiche.
Mandiant ha creato UNC4697 per tracciare i primi sfruttamenti dello zero-day, pubblicamente attribuito ad APT28, attore facente parte del GRU russo. La vulnerabilità è in uso dall’aprile 2022 contro industrie governative, logistiche, oil&gas, della difesa e dei trasporti situate in Polonia, Ucraina, Romania e Turchia.
Mandiant prevede un’ampia e rapida adozione dell’exploit CVE-2023-23397 da parte di diversi attori nation-state motivati finanziariamente, compresi criminali e attori dello spionaggio informatico. A breve termine, questi attori cercheranno di contrastare le patch cercando di ottenere punti d’appoggio nei sistemi non patchati.
- Sono già ampiamente disponibili proof-of-concept per lo zero-day che non richiedono interazioni con l’utente;
- Oltre alla raccolta di informazioni per scopi strategici, Mandiant ritiene che questo zero-day sia stato utilizzato per colpire infrastrutture critiche sia in Ucraina sia altrove in preparazione a potenziali attacchi informatici disruptive;
- Si noti che questa vulnerabilità non riguarda le soluzioni di posta elettronica basate sul cloud.
John Hultquist, Head of Mandiant Intelligence Analysis – Google Cloud
Questo fatto è un’ulteriore prova che i cyber attacchi distruttivi potrebbero non restare circoscritti all’Ucraina e ci ricorda che non possiamo avere visibilità su tutto quello che accade durante un conflitto.
Infatti, gli attaccanti sono spie che posseggono una grande esperienza nell’eludere i controlli. Si tratta di un ottimo strumento per gli attaccanti nation-state e anche per i cyber criminali, che a stretto giro si troveranno in una situazione di vantaggio. La corsa è già iniziata.
Vulnerabilità CVE-2023-23397
L’utilizzo della vulnerabilità CVE-2023-23397 è stato pubblicamente attribuito ad APT28. Le prime prove di sfruttamento di questa vulnerabilità risalgono all’aprile 2022 contro enti governativi e contro aziende nei settori della logistica, oil&gas, della difesa e dei trasporti situate in Polonia, Ucraina, Romania e Turchia. Queste organizzazioni potrebbero essere state prese di mira con l’obiettivo ultimo di raccogliere informazioni strategiche o come parte integrante della preparazione di attacchi informatici distruttivi dentro e fuori dall’Ucraina.
La vulnerabilità CVE-2023-23397 riguarda il client di posta Outlook e per sfruttarla non è necessaria alcuna interazione da parte dell’utente. La Threat Intelligence di Mandiant considera questa vulnerabilità ad alto rischio a causa della possibilità di escalation dei privilegi e del fatto che non richiede una interazione dell’utente o privilegi particolari per essere sfruttata. Lo sfruttamento di questo zero-day è banale e probabilmente sarà usato a breve sia da attaccanti a scopo di spionaggio sia da attaccanti interessanti ad un guadagno economico.
La divisione di Mandiant Adversary Operations traccia sotto il nome di UNC4897 lo sfruttamento dello zero-day che è stato pubblicamente attribuito ad APT28.
APT28 è un gruppo collegato all’intelligence militare russa (GRU) che svolge regolarmente attività di spionaggio informatico e operazioni all’interno e all’esterno dell’Ucraina. APT28 collabora spesso con il gruppo Sandworm, anch’esso parte del GRU e responsabile di attacchi distruttivi.
Come funziona?
Un attaccante può sfruttare questa vulnerabilità per aumentare i propri privilegi, per farlo deve creare una e-mail con un percorso UNC che punta ad una condivisione SMB (TCP 445) su un server controllato dall’attaccante. Una volta ricevuta l’email, viene aperta una connessione alla condivisione SMB e viene inviato il messaggio chiamato di “NTLM negotiation”. Questo consente all’attaccante di scoprire l’hash Net-NTLMv2 dell’utente. L’attaccante può quindi usare tale hash NTLM per autenticarsi ad altri computer o server della vittima. Si tratta di un attacco che è comunemente chiamato Pass the Hash (PtH). La connessione alla condivisione SMB viene attivata quando il client Outlook riceve ed elabora l’email, consentendo lo sfruttamento della vulnerabilità prima che la vittima visualizzi l’email.