Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 22 Gennaio 2024 19:23
La società di sicurezza informatica Varonis ha scoperto una nuova vulnerabilità nei prodotti Microsoft. Questa consente diversi metodi di attacco che permettono agli aggressori di ottenere gli hash delle password degli utenti.
La vulnerabilità, identificata come CVE-2023-35636, interessa la funzionalità di condivisione del calendario in Outlook ed è classificata come Medium (CVSS 6.5). Con il suo aiuto, un utente malintenzionato può inviare all’utente una lettera appositamente predisposta. Questa costringerà Outlook a connettersi a un server controllato dai malintenzionati e a inviargli un hash NTLM v2 per l’autenticazione.
Un esempio di hash NTLM v2 intercettato. (Fonte Varonis)
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
NTLM v2 è un protocollo utilizzato per autenticare gli utenti su server remoti. L’hash della password dell’utente NTLM v2 può essere prezioso per gli aggressori. Questo perché possono lanciare un attacco di forza bruta e ottenere la password oppure utilizzare l’hash direttamente per l’autenticazione.
Microsoft ha corretto CVE-2023-35636 come parte degli aggiornamenti di sicurezza non programmati a dicembre 2023. Ma alcuni metodi di attacco che potrebbero consentire agli aggressori di ottenere l’hash di autenticazione funzionano ancora.
Pertanto, uno di questi metodi è l’utilità Windows Performance Analyser (WPA), spesso utilizzata dagli sviluppatori. I ricercatori hanno scoperto che i collegamenti relativi a WPA vengono elaborati utilizzando uno speciale URI. Attraverso questo URI è possibile autenticarsi utilizzando NTLM v2 su Internet, esponendo l’hash NTLM.
Questo metodo prevede anche l’invio di un’e-mail contenente un collegamento progettato per reindirizzare la vittima a un payload WPA dannoso su un sito controllato dall’aggressore.
Dopo che la vittima ha cliccato sul collegamento, l’aggressore ha ottenuto le password crittografate della vittima. (Fonte Varonis)
Altri due metodi utilizzano Esplora file standard di Windows. A differenza di WPA – che non è un componente di sistema predefinito e viene utilizzato principalmente solo dagli sviluppatori di software -Esplora file è profondamente integrato in Windows e viene utilizzato quotidianamente dalla stragrande maggioranza degli utenti. Entrambe le opzioni di attacco prevedono che l’aggressore invii un collegamento dannoso all’utente di destinazione tramite e-mail, social media o altri canali. Pertanto è necessaria una iterazione dell’utente.
“Una volta che la vittima fa clic sul collegamento, l’aggressore può ottenere l’hash e quindi provare a decifrare la password dell’utente offline”, ha spiegato Varonis. “Una volta violato l’hash e ottenuta la password, un utente malintenzionato può utilizzarla per accedere all’organizzazione come utente.”
Come notato sopra, il CVE-2023-35636 è stato corretto a dicembre, ma altri problemi rimangono ancora rilevanti. Si consiglia alle aziende di installare gli ultimi aggiornamenti di sicurezza. Inoltre è necessario adottare misure aggiuntive per proteggersi dagli attacchi di phishing per evitare di cadere vittime dei criminali.
RedazioneAncora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...
Un’improvvisa e massiccia interruzione di corrente ha colpito la Penisola Iberica, gettando vaste zone di Spagna e Portogallo al buio e causando significative interruzioni alle infras...
Il report DarkMirror Q1 2025 di DarkLab, il laboratorio di Cyber Threat Intelligence di Red Hot Cyber, offre un’analisi dettagliata dell’evoluzione del ransomware in Italia e nel mondo. ...
Lo sviluppo di supercomputer per l’intelligenza artificiale sta entrando in una nuova orbita: in termini di scala, costi e consumi energetici e infrastrutture e megaprogetti. Uno studio condott...
Il 25 Aprile, data simbolo della Liberazione italiana dal fascismo, ci ricorda il valore della libertà, conquistata con il sacrificio di partigiani e combattenti. In un’era dominata dal di...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
