• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Speciale Sicurezza
  • Industry 4.0
  • Sanità Digitale
  • ReStart in Green
  • Redazione
  • Contattaci
ITIS MagazineITIS Magazine
    Facebook Twitter Vimeo LinkedIn RSS
    Trending
    • Con Radiflow cresce l’offerta OT security di FINIX
    • A Genova la quarta tappa di SPS On Tour
    • Stesi affianca le aziende nella gestione del picking con Silwa
    • Cavi ibridi: da igus due novità
    • Daimler Truck progetta i veicoli pesanti con Siemens
    • Mitsubishi Electric a MECSPE 2023 con la rullatrice ORT ITALIA
    • Automotive: uno sguardo all’Europa
    • Imprese manifatturiere italiane positive sul futuro
    Facebook Twitter Vimeo LinkedIn RSS
    ITIS Magazine ITIS Magazine
    • Stampa 3D
    • Simulazione
    • Progettazione
    • Sicurezza
    • Tecnologie
      • Tendenze
    • Industry 4.0
    • Appuntamenti
    ITIS MagazineITIS Magazine
    Sei qui:Home»Sicurezza»Nuovo Zero-day di Outlook: cosa c’è da sapere
    Sicurezza

    Nuovo Zero-day di Outlook: cosa c’è da sapere

    Di Redazione BitMAT17/03/2023Updated:16/03/2023Lettura 4 Min
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Il parere di Mandiant su questo nuovo zero-day di Outlook (CVE-2023-23397) usato per quasi un anno per colpire infrastrutture critiche

    Zero-day

    Microsoft ha reso noto un nuovo zero-day di Outlook (CVE-2023-23397).

    Mandiant ritiene che questo zero-day sia stato utilizzato per quasi un anno con l’obiettivo di colpire organizzazioni e infrastrutture critiche. Questi obiettivi potrebbero facilitare la raccolta di informazioni strategiche e gli attacchi disruptive all’interno e all’esterno dell’Ucraina.

    • Mandiant ha creato UNC4697 per tracciare i primi sfruttamenti dello zero-day, pubblicamente attribuito ad APT28, attore facente parte del GRU russo. La vulnerabilità è in uso dall’aprile 2022 contro industrie governative, logistiche, oil&gas, della difesa e dei trasporti situate in Polonia, Ucraina, Romania e Turchia.

    Mandiant prevede un’ampia e rapida adozione dell’exploit CVE-2023-23397 da parte di diversi attori nation-state motivati finanziariamente, compresi criminali e attori dello spionaggio informatico. A breve termine, questi attori cercheranno di contrastare le patch cercando di ottenere punti d’appoggio nei sistemi non patchati.

    • Sono già ampiamente disponibili proof-of-concept per lo zero-day che non richiedono interazioni con l’utente;
    • Oltre alla raccolta di informazioni per scopi strategici, Mandiant ritiene che questo zero-day sia stato utilizzato per colpire infrastrutture critiche sia in Ucraina sia altrove in preparazione a potenziali attacchi informatici disruptive;
    • Si noti che questa vulnerabilità non riguarda le soluzioni di posta elettronica basate sul cloud.

    “Questo fatto è un’ulteriore prova che i cyber attacchi distruttivi potrebbero non restare circoscritti all’Ucraina e ci ricorda che non possiamo avere visibilità su tutto quello che accade durante un conflitto”, dichiara John Hultquist, Head of Mandiant Intelligence Analysis – Google Cloud. “Infatti, gli attaccanti sono spie che posseggono una grande esperienza nell’eludere i controlli. Si tratta di un ottimo strumento per gli attaccanti nation-state e anche per i cyber criminali, che a stretto giro si troveranno in una situazione di vantaggio. La corsa è già iniziata”.

    Nuovo Zero-day di Outlook: ecco cosa c’è da sapere

    L’utilizzo della vulnerabilità CVE-2023-23397 è stato pubblicamente attribuito ad APT28. Le prime prove di sfruttamento di questa vulnerabilità risalgono all’aprile 2022 contro enti governativi e contro aziende nei settori della logistica, oil&gas, della difesa e dei trasporti situate in Polonia, Ucraina, Romania e Turchia. Queste organizzazioni potrebbero essere state prese di mira con l’obiettivo ultimo di raccogliere informazioni strategiche o come parte integrante della preparazione di attacchi informatici distruttivi dentro e fuori dall’Ucraina.

    La vulnerabilità CVE-2023-23397 riguarda il client di posta Outlook e per sfruttarla non è necessaria alcuna interazione da parte dell’utente. La Threat Intelligence di Mandiant considera questa vulnerabilità ad alto rischio a causa della possibilità di escalation dei privilegi e del fatto che non richiede una interazione dell’utente o privilegi particolari per essere sfruttata. Lo sfruttamento di questo zero-day è banale e probabilmente sarà usato a breve sia da attaccanti a scopo di spionaggio sia da attaccanti interessanti ad un guadagno economico.

    La divisione di Mandiant Adversary Operations traccia sotto il nome di UNC4897 lo sfruttamento dello zero-day di Outlook che è stato pubblicamente attribuito ad APT28.

    APT28 è un gruppo collegato all’intelligence militare russa (GRU) che svolge regolarmente attività di spionaggio informatico e operazioni all’interno e all’esterno dell’Ucraina. APT28 collabora spesso con il gruppo Sandworm, anch’esso parte del GRU e responsabile di attacchi distruttivi.

    Un attaccante può sfruttare questa vulnerabilità per aumentare i propri privilegi, per farlo deve creare una email con un percorso UNC che punta ad una condivisione SMB (TCP 445) su un server controllato dall’attaccante. Una volta ricevuta l’email, viene aperta una connessione alla condivisione SMB e viene inviato il messaggio chiamato di “NTLM negotiation”. Questo consente all’attaccante di scoprire l’hash Net-NTLMv2 dell’utente. L’attaccante può quindi usare tale hash NTLM per autenticarsi ad altri computer o server della vittima. Si tratta di un attacco che è comunemente chiamato Pass the Hash (PtH). La connessione alla condivisione SMB viene attivata quando il client Outlook riceve ed elabora l’email, consentendo lo sfruttamento della vulnerabilità prima che la vittima visualizzi l’email.

     

    APT28 attaccanti nation-state CVE-2023-23397 Mandiant Mandiant Adversary Operations microsoft zero-day di Outlook
    Condividi: Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione BitMAT
    • Website
    • Facebook
    • Twitter

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Con Radiflow cresce l’offerta OT security di FINIX

    31/03/2023

    Settore manifatturiero sotto attacco. Come proteggerlo?

    28/03/2023

    Gruppo Camozzi: sistemi industriali più sicuri con Radiflow

    14/03/2023
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    BitMATv – I video di BitMAT
    Vectra AI: tecnologia NDR sempre più protagonista
    Hikvision Trasmission&Display e iStorage: a che punto siamo?
    Hikvision: termografia in espansione
    Nuove frontiere della robotica con Raise
    Poliambulatorio Privato C.T.R. sceglie la tecnologia di ELO Digital Office
    Tendenze

    Stesi affianca le aziende nella gestione del picking con Silwa

    31/03/2023

    Cavi ibridi: da igus due novità

    30/03/2023

    Daimler Truck progetta i veicoli pesanti con Siemens

    30/03/2023
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Contatti: redazione.itismagazine@bitmat.it

    Facebook Twitter Vimeo LinkedIn RSS
    NAVIGAZIONE
    • ReStart in Green
    • Stampa 3D
    • Simulazione
    • Progettazione
    • Sicurezza
    • Reparto corse
    • Tecnologie
    • Industry 4.0
    • Appuntamenti
    Ultime

    Con Radiflow cresce l’offerta OT security di FINIX

    31/03/2023

    A Genova la quarta tappa di SPS On Tour

    31/03/2023

    Stesi affianca le aziende nella gestione del picking con Silwa

    31/03/2023

    Cavi ibridi: da igus due novità

    30/03/2023
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2023 Bitmat Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 292 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Scrivi nel campo e premi Invio per cercare. Premi Esc per annullare