Check Point Research ha condotto un’analisi completa su Outlook, il client Microsoft Office di posta elettronica ampiamente utilizzato negli uffici moderni.
La ricerca in questione è stata eseguita sull’ultima versione di Outlook 2021 (versione desktop su Windows), con gli ultimi aggiornamenti di sicurezza installati a partire da novembre 2023, in ambienti tipici/default di Outlook + Exchange Server.
L’ovvio: vettore di attacco Hyperlink
Con questo vettore di attacco, gli aggressori inviano e-mail contenenti link malevoli. Un semplice clic su questi collegamenti ipertestuali può condurre gli utenti a siti di phishing, avviare exploit del browser o persino attivare exploit zero-day altamente tecnici. Nonostante l’apparente semplicità, i rischi per la sicurezza risiedono più nei browser che in Outlook stesso. Outlook dà priorità all’usabilità, riconoscendo che confermare ogni clic su un collegamento ipertestuale sarebbe poco pratico. Si consiglia agli utenti di affidarsi a browser robusti e di fare attenzione agli attacchi di phishing.
Il normale: vettore di attacco degli allegati
Gli aggressori sfruttano il normale comportamento degli utenti che aprono gli allegati di posta elettronica. Quando un utente fa doppio clic su un allegato, Outlook tenta di richiamare l’applicazione predefinita per quel tipo di file in Windows. Il rischio di sicurezza dipende dalla robustezza dell’applicazione registrata per il tipo di file allegato. Se il tipo di file è contrassegnato come “non sicuro”, Outlook lo blocca. Nel caso in cui i file non siano classificati, agli utenti viene richiesto di eseguire due clic per la conferma. È fondamentale in questo caso che si presti molta attenzione e si eviti di cliccare automaticamente sul pulsante “Apri” per gli allegati provenienti da fonti non attendibili.
Vettore di attacco per la lettura delle e-mail
Conosciuto anche come attacco al “Riquadro di anteprima”, questo vettore rappresenta una minaccia quando gli utenti leggono le e-mail in Outlook. Le vulnerabilità possono sorgere durante l’elaborazione di diversi formati di e-mail, come HTML e TNEF. Per una maggiore sicurezza, si consiglia di configurare Outlook in modo che legga solo i messaggi di posta elettronica in testo normale, anche se ciò potrebbe avere un impatto sull’usabilità, in quanto i collegamenti e le immagini potrebbero non essere visibili in tali messaggi di testo normale.
Vettore di attacco degli oggetti speciali di Outlook
Questo vettore di attacco avanzato prevede lo sfruttamento di vulnerabilità zero-day, come nel caso di CVE-2023-23397. I criminali informatici possono compromettere Outlook inviando un oggetto “promemoria” malevolo, innescando la vulnerabilità quando l’utente apre Outlook e si connette al server di posta elettronica. In particolare, potrebbe non essere necessario che la vittima legga l’e-mail perché l’attacco venga attivato. Questo sottolinea l’importanza di aggiornamenti di sicurezza tempestivi e di pratiche di utilizzo prudenti.
Conclusioni e misure di protezione
In conclusione, la protezione degli utenti di Outlook richiede un approccio su più fronti. Gli utenti dovrebbero evitare di fare clic su link sconosciuti, prestare attenzione all’apertura di allegati provenienti da fonti non attendibili e mantenere sempre aggiornata la suite di Microsoft alle versioni e agli aggiornamenti più recenti.
L’analisi completa di Check Point Research fornisce approfondimenti su questi vettori di attacco, aiutando sia gli utenti che il settore della sicurezza a comprendere e mitigare i rischi potenziali.
Tutti i vettori di attacco discussi in questo documento sono monitorati e protetti dalle soluzioni Check Point, tra cui Check Point E-mail Security & Collaboration Security. Harmony E-mail & Collaboration offre una protezione completa per Microsoft 365, Google Workspace e tutte le applicazioni di collaborazione e condivisione di file. Harmony E-mail & Collaboration è progettato specificamente per gli ambienti di posta elettronica in-the-cloud ed è l’unica soluzione in grado di prevenire, e non solo di rispondere o rilevare, le minacce che entrano nella casella di posta.
Harmony Endpoint offre una protezione completa degli endpoint al massimo livello di sicurezza, mentre XDR/XPR identifica rapidamente gli attacchi più sofisticati correlando gli eventi nell’intero patrimonio di sicurezza e combinandoli con le analisi comportamentali, le informazioni proprietarie in tempo reale sulle minacce di Check Point Research e ThreatCloud AI e le informazioni di terze parti.
Threat Emulation così come i gateway di Check Point offrono una sicurezza superiore a qualsiasi firewall di nuova generazione (NGFW). Progettati al meglio per la protezione Zero Day, questi gateway sono i migliori per prevenire la quinta generazione di attacchi informatici con oltre 60 servizi di sicurezza innovativi.
Check Point Research dà la caccia in modo proattivo agli attacchi di Outlook e alla posta elettronica. In qualità di azienda leader nel settore della sicurezza, Check Point continua a sviluppare tecnologie innovative di rilevamento e protezione per i clienti di tutto il mondo.