Vulnerabilità su Microsoft Outlook

Proto: N030418.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una vulnerabilità degna di nota all’interno della suite Microsoft Office che può essere sfruttata da attaccanti remoti per trafugare token di autenticazione qualora la vittima visualizzi anteprime email su Outlook. La criticità è nota con l’identificativo CVE-2018-0950.

La problematica risiede nella gestione degli oggetti OLE (Object Linking and Embedding) all’interno di documenti RTF (Rich-Text-Format) da parte della suite Microsoft Office: in questi documenti possono essere specificati oggetti remoti accessibili tramite condivisione di rete SMB,  verso i quali l’host tenta di collegarsi utilizzando le autorizzazioni utente correnti.

La portata della criticità prende forma in quanto il client di posta Outlook supporta la gestione di messaggi email in formato RTF dove, qualora venga visualizzato un messaggio contenente un riferimento ad un oggetto esterno, l’applicativo automaticamente tenta di recuperare la risorsa utilizzando token di Single-Sign-On dell’utenza corrente (hash NTLMv2).

Questa condizione può essere sfruttata sia da attaccanti opportunistici che ne mossi da interessi mirati al fine di collezionare hash relativi a credenziali utente, con l’intendo di recuperarne la password di dominio.

Il Produttore ha confermato la criticità attraverso un apposito bollettino di sicurezza, nel quale sono disponibili aggiornamenti per:

  • Microsoft Office 2010 Service Pack 2
  • Microsoft Office 2016 Click-to-Run
  • Microsoft Word 2007 Service Pack 3
  • Microsoft Office Compatibility Pack Service Pack 3
  • Microsoft Word 2013 RT Service Pack 1
  • Microsoft Word 2013 Service Pack 1
  • Microsoft Word 2016

A questo proposito Yoroi consiglia di pianificare l’applicazione degli aggiornamenti a disposizione e di limitare la raggiungibilità di servizi CIFS/SMB/RPC verso destinazione esterne al perimetro dell’organizzazione. Inoltre, si consiglia di valutare il blocco dell’utilizzo di autenticazioni NTLM Single Sign-on verso destinazioni non appartenenti alle reti locali fidate attraverso la configurazione di apposite chiavi di registro (rif. ADV170014).

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index