Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Microsoft MSHTML! La vecchia minaccia di Internet Explorer torna a colpire

Redazione RHC : 18 Novembre 2024 14:28

Con il Patch Tuesday di novembre, Microsoft ha sistemato 89 vulnerabilità nei suoi prodotti, due delle quali sono attivamente sfruttate. Una di queste, CVE-2024-43451, è particolarmente allarmante. Consente agli aggressori di ottenere l’accesso all’hash NTLMv2 della vittima.

Sebbene non abbia un’impressionante valutazione CVSS 3.1 (solo 6,5 / 6,0), il suo sfruttamento richiede un’interazione minima da parte dell’utente ed esiste grazie al motore MSHTML, l’eredità di Internet Explorer, che è teoricamente disattivato e non più utilizzato. Tuttavia, tutte le versioni correnti di Windows sono interessate da questa vulnerabilità.

Il CVE-2024-43451 consente a un aggressore di creare un file che, una volta consegnato al computer della vittima, darà all’aggressore la possibilità di rubare l’hash NTLMv2. NTLMv2 è un protocollo di autenticazione di rete utilizzato negli ambienti Microsoft Windows.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Avendo accesso all’hash NTLMv2, un aggressore può eseguire un attacco pass-the-hash e tentare di autenticarsi sulla rete fingendosi un utente legittimo, senza avere le sue credenziali reali.

    Naturalmente, CVE-2024-43451 da sola non è sufficiente per un attacco a tutti gli effetti: i criminali informatici dovrebbero usare altre vulnerabilità, ma l’hash NTLMv2 di qualcun altro renderebbe la vita dell’attaccante molto più facile. La descrizione della vulnerabilità afferma chiaramente che la vulnerabilità è divulgata pubblicamente e sono stati rilevati casi di sfruttamento attivi.

    Il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha collegato l’attività a un probabile autore della minaccia russa, identificato come UAC-0194. Nelle ultime settimane, l’agenzia ha anche lanciato l’allarme: sono state utilizzate e-mail di phishing con esche di natura fiscale per diffondere un software legittimo per desktop remoto denominato LiteManager, descrivendo la campagna di attacco come motivata da motivi finanziari e condotta da un autore della minaccia denominato UAC-0050.

    In genere si presume che se un utente non apre un file dannoso, non può succedere nulla di male. In questo caso, non è vero. Secondo la mini-FAQ nell’avviso della guida all’aggiornamento della sicurezza su CVE-2024-43451 , lo sfruttamento può verificarsi anche quando l’utente seleziona il file (clic singolo con il tasto sinistro), lo ispeziona (con un clic destro) o esegue qualche “azione diversa dall’apertura o dall’esecuzione”.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Articoli in evidenza

    DarkLab intervista HellCat Ransomware! La chiave è “assicurarsi che tutti comprendano la cybersecurity”

    Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...

    X/Twitter nel Caos! Un Threat Actors pubblica 2.8 Miliardi di Account Compromessi

    Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...

    Signal è abbastanza sicuro per la CIA e per il CISA. Lo è anche per te?

    Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...

    Addio alle password! La rivoluzione della sicurezza informatica è già iniziata

    Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...

    Alla scoperta della Pseudonimizzazione: Tra definizione e valore giuridico

    La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...