Microsoft risolve un difetto zero-day sfruttato dagli hacker russi che consentiva l’accesso alle e-mail del governo

Microsoft ha annunciato di aver risolto una vulnerabilità zero-day che i criminali informatici russi sfruttavano da mesi per attaccare le organizzazioni governative europee attraverso il servizio di posta elettronica di Outlook.

Questa vulnerabilità zero-day è quella che i criminali informatici hanno scoperto prima che gli sviluppatori di detto sistema operativo, in questo caso Windows, creassero una patch per risolverlo.

I criminali informatici legati al servizio di intelligence militare russo (GRU) avrebbero sfruttato una vulnerabilità in Outlook da aprile 2022 a dicembre di quell’anno, secondo Bleeping Computer, con l’obiettivo di attaccare circa 15 obiettivi governativi, militari, energetici e di trasporto.

Il Computer Emergency Response Team of Ukraine (CERT-UA) ha rilevato la vulnerabilità scoperta, denominata CVE-2023-23397, e concede ai criminali informatici i privilegi per controllare Outlook.

In particolare, questo gruppo di criminali informatici, noto con vari nomi tra cui APT28, Strontium, Sednit, Sofacy e Fancy Bear, ha inviato richieste agli utenti per rubare gli “hash” NTLM, il formato di crittografia in cui sono memorizzate le password degli utenti sui sistemi Windows. delle vittime.

Quindi si è preso la responsabilità di forzare l’autenticazione dei dispositivi aziendali mirati utilizzando i protocolli Server Message Block (SMB), che consentono alle applicazioni sul computer di leggere e scrivere file controllati dall’aggressore.

Una volta ottenute le credenziali e attraverso la tecnica del movimento laterale, con cui l’agente malintenzionato si diffonde da un punto di ingresso al resto della rete, è stato in grado di modificare i permessi di Outlook per accaparrarsi le email da account specifici.

Questa vulnerabilità interessa tutte le versioni supportate di Microsoft Outlook per Windows, ma non le versioni Android, iOS e macOS di questo software.