Redazione RHC : 18 Novembre 2024 14:28
Con il Patch Tuesday di novembre, Microsoft ha sistemato 89 vulnerabilità nei suoi prodotti, due delle quali sono attivamente sfruttate. Una di queste, CVE-2024-43451, è particolarmente allarmante. Consente agli aggressori di ottenere l’accesso all’hash NTLMv2 della vittima.
Sebbene non abbia un’impressionante valutazione CVSS 3.1 (solo 6,5 / 6,0), il suo sfruttamento richiede un’interazione minima da parte dell’utente ed esiste grazie al motore MSHTML, l’eredità di Internet Explorer, che è teoricamente disattivato e non più utilizzato. Tuttavia, tutte le versioni correnti di Windows sono interessate da questa vulnerabilità.
Il CVE-2024-43451 consente a un aggressore di creare un file che, una volta consegnato al computer della vittima, darà all’aggressore la possibilità di rubare l’hash NTLMv2. NTLMv2 è un protocollo di autenticazione di rete utilizzato negli ambienti Microsoft Windows.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Avendo accesso all’hash NTLMv2, un aggressore può eseguire un attacco pass-the-hash e tentare di autenticarsi sulla rete fingendosi un utente legittimo, senza avere le sue credenziali reali.
Naturalmente, CVE-2024-43451 da sola non è sufficiente per un attacco a tutti gli effetti: i criminali informatici dovrebbero usare altre vulnerabilità, ma l’hash NTLMv2 di qualcun altro renderebbe la vita dell’attaccante molto più facile. La descrizione della vulnerabilità afferma chiaramente che la vulnerabilità è divulgata pubblicamente e sono stati rilevati casi di sfruttamento attivi.
Il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha collegato l’attività a un probabile autore della minaccia russa, identificato come UAC-0194. Nelle ultime settimane, l’agenzia ha anche lanciato l’allarme: sono state utilizzate e-mail di phishing con esche di natura fiscale per diffondere un software legittimo per desktop remoto denominato LiteManager, descrivendo la campagna di attacco come motivata da motivi finanziari e condotta da un autore della minaccia denominato UAC-0050.
In genere si presume che se un utente non apre un file dannoso, non può succedere nulla di male. In questo caso, non è vero. Secondo la mini-FAQ nell’avviso della guida all’aggiornamento della sicurezza su CVE-2024-43451 , lo sfruttamento può verificarsi anche quando l’utente seleziona il file (clic singolo con il tasto sinistro), lo ispeziona (con un clic destro) o esegue qualche “azione diversa dall’apertura o dall’esecuzione”.
Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006