Microsoft ha reso noto un nuovo zero-day di Outlook (CVE-2023-23397).
Mandiant ritiene che questo zero-day sia stato utilizzato per quasi un anno con l’obiettivo di colpire organizzazioni e infrastrutture critiche. Questi obiettivi potrebbero facilitare la raccolta di informazioni strategiche e gli attacchi disruptive all’interno e all’esterno dell’Ucraina.
- Mandiant ha creato UNC4697 per tracciare i primi sfruttamenti dello zero-day, pubblicamente attribuito ad APT28, attore facente parte del GRU russo. La vulnerabilità è in uso dall’aprile 2022 contro industrie governative, logistiche, oil&gas, della difesa e dei trasporti situate in Polonia, Ucraina, Romania e Turchia.
Mandiant prevede un’ampia e rapida adozione dell’exploit CVE-2023-23397 da parte di diversi attori nation-state motivati finanziariamente, compresi criminali e attori dello spionaggio informatico. A breve termine, questi attori cercheranno di contrastare le patch cercando di ottenere punti d’appoggio nei sistemi non patchati.
- Sono già ampiamente disponibili proof-of-concept per lo zero-day che non richiedono interazioni con l’utente;
- Oltre alla raccolta di informazioni per scopi strategici, Mandiant ritiene che questo zero-day sia stato utilizzato per colpire infrastrutture critiche sia in Ucraina sia altrove in preparazione a potenziali attacchi informatici disruptive;
- Si noti che questa vulnerabilità non riguarda le soluzioni di posta elettronica basate sul cloud.
“Questo fatto è un’ulteriore prova che i cyber attacchi distruttivi potrebbero non restare circoscritti all’Ucraina e ci ricorda che non possiamo avere visibilità su tutto quello che accade durante un conflitto”, dichiara John Hultquist, Head of Mandiant Intelligence Analysis – Google Cloud. “Infatti, gli attaccanti sono spie che posseggono una grande esperienza nell’eludere i controlli. Si tratta di un ottimo strumento per gli attaccanti nation-state e anche per i cyber criminali, che a stretto giro si troveranno in una situazione di vantaggio. La corsa è già iniziata”.
Nuovo Zero-day di Outlook: ecco cosa c’è da sapere
L’utilizzo della vulnerabilità CVE-2023-23397 è stato pubblicamente attribuito ad APT28. Le prime prove di sfruttamento di questa vulnerabilità risalgono all’aprile 2022 contro enti governativi e contro aziende nei settori della logistica, oil&gas, della difesa e dei trasporti situate in Polonia, Ucraina, Romania e Turchia. Queste organizzazioni potrebbero essere state prese di mira con l’obiettivo ultimo di raccogliere informazioni strategiche o come parte integrante della preparazione di attacchi informatici distruttivi dentro e fuori dall’Ucraina.
La vulnerabilità CVE-2023-23397 riguarda il client di posta Outlook e per sfruttarla non è necessaria alcuna interazione da parte dell’utente. La Threat Intelligence di Mandiant considera questa vulnerabilità ad alto rischio a causa della possibilità di escalation dei privilegi e del fatto che non richiede una interazione dell’utente o privilegi particolari per essere sfruttata. Lo sfruttamento di questo zero-day è banale e probabilmente sarà usato a breve sia da attaccanti a scopo di spionaggio sia da attaccanti interessanti ad un guadagno economico.
La divisione di Mandiant Adversary Operations traccia sotto il nome di UNC4897 lo sfruttamento dello zero-day di Outlook che è stato pubblicamente attribuito ad APT28.
APT28 è un gruppo collegato all’intelligence militare russa (GRU) che svolge regolarmente attività di spionaggio informatico e operazioni all’interno e all’esterno dell’Ucraina. APT28 collabora spesso con il gruppo Sandworm, anch’esso parte del GRU e responsabile di attacchi distruttivi.
Un attaccante può sfruttare questa vulnerabilità per aumentare i propri privilegi, per farlo deve creare una email con un percorso UNC che punta ad una condivisione SMB (TCP 445) su un server controllato dall’attaccante. Una volta ricevuta l’email, viene aperta una connessione alla condivisione SMB e viene inviato il messaggio chiamato di “NTLM negotiation”. Questo consente all’attaccante di scoprire l’hash Net-NTLMv2 dell’utente. L’attaccante può quindi usare tale hash NTLM per autenticarsi ad altri computer o server della vittima. Si tratta di un attacco che è comunemente chiamato Pass the Hash (PtH). La connessione alla condivisione SMB viene attivata quando il client Outlook riceve ed elabora l’email, consentendo lo sfruttamento della vulnerabilità prima che la vittima visualizzi l’email.
