Alert GCSA-23039 - Vulnerabilita' in Microsoft Office Outlook
******************************************************************
Alert ID: GCSA-23039
Data: 27 Marzo 2023
Titolo: Sfruttamento vulnerabilita' in Microsoft Office Outlook
**********************************************************************
:: Descrizione del problema
E' stato riscontrato lo sfruttamento attivo di una vulnerabilita' critica,
CVE-2023-23397, per Microsoft Office Outlook che puo' permettere ad un
attaccante remoto di compiere escalation di privilegi.
La vulnerabilita', permette di prendere l'hash NTLM dell'account Windows della vittima
tramite la ricezione di una email opportunamente predisposta con proprietà MAPI estesa
e contenente un path UNC verso un server SMB (porta TCP/445). In questo modo l'attaccante
si connette ad un server remoto SMB permettendo di inviare gli hash NTML dell'utente
Questo processo si presta a trafugare hash di credenziali e utilizzarle anche
verso altri servizi, attraverso opportuno utilizzo di NTML relay.
La vulnerabilita' e' stata sanata con gli aggiornamenti Microsoft usciti
il 15 marzo, si consiglia quindi di fare aggiornamento prima possibile
Per una descrizione completa delle vulnerabilita' si rimanda
alla sezione "Riferimenti".
:: Software interessato
Microsoft 365 Apps for Enterprise - 32 e 64 bit
Microsoft Office LTSC 2021 - 32 e 64 bit
Microsoft Outlook 2016 - 32 e 64 bit
Microsoft Outlook 2013 Service Pack 1 - 32 e 64 bit
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Office 2019 - 32 e 64 bit
La vulnerabilita' non impatta Microsoft Outlook per Android, iOS, Mac
ne' Outlook via web ne' altri servizi M365
:: Impatto
Escalation di privilegi
:: Soluzioni
Per default l'installazione degli aggiornamenti avviene in maniera
automatica.
Per verificare manualmente la disponibilita' di aggiornamenti scegliere
Start > Impostazioni > Aggiornamento e Sicurezza > Windows Update
Windows Update domande frequenti
https://support.microsoft.com/it-it/help/12373/windows-update-faq
Microsoft ha sviluppato un sistema di mitigazione e monitoraggio,
per coloro che utilizzano il server di posta Microsoft exchange,
tramite uno script reperibile a questo indirizzo
https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
Come ulteriore azione di mitigazione e buona pratica in generale,
consigliamo di bloccare tutte le connessioni in uscita dalla propria
struttura verso la porta SMB TCP/445 esclusi i casi di necessita'
:: Riferimenti
Microsoft
https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/
https://msrc.microsoft.com/update-guide/vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
CSIRT Italia
https://www.csirt.gov.it/contenuti/rilevato-sfruttamento-in-rete-della-cve-2023-23397-in-microsoft-outlook-bl01-230317-csirt-ita
Security Boulevard
https://securityboulevard.com/2023/03/detecting-cve-2023-23397-how-to-identify-exploitation-of-the-latest-microsoft-outlook-vulnerability/
TrendMicro
https://www.trendmicro.com/en_us/research/23/c/patch-cve-2023-23397-immediately-what-you-need-to-know-and-do.html
Mitre CVE ID
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23397
GARR CERT Newsletter subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZBrg6QAKCRDBnEyTZRJg
Qj0lAJ4r719+/Nt3w4oiWFHzxAer7gcIEwCg1iRoSeheRY25IqEU0joFRnMJAfw=
=udqm
-----END PGP SIGNATURE-----
Alert ID: GCSA-23039
Data: 27 Marzo 2023
Titolo: Sfruttamento vulnerabilita' in Microsoft Office Outlook
**********************************************************************
:: Descrizione del problema
E' stato riscontrato lo sfruttamento attivo di una vulnerabilita' critica,
CVE-2023-23397, per Microsoft Office Outlook che puo' permettere ad un
attaccante remoto di compiere escalation di privilegi.
La vulnerabilita', permette di prendere l'hash NTLM dell'account Windows della vittima
tramite la ricezione di una email opportunamente predisposta con proprietà MAPI estesa
e contenente un path UNC verso un server SMB (porta TCP/445). In questo modo l'attaccante
si connette ad un server remoto SMB permettendo di inviare gli hash NTML dell'utente
Questo processo si presta a trafugare hash di credenziali e utilizzarle anche
verso altri servizi, attraverso opportuno utilizzo di NTML relay.
La vulnerabilita' e' stata sanata con gli aggiornamenti Microsoft usciti
il 15 marzo, si consiglia quindi di fare aggiornamento prima possibile
Per una descrizione completa delle vulnerabilita' si rimanda
alla sezione "Riferimenti".
:: Software interessato
Microsoft 365 Apps for Enterprise - 32 e 64 bit
Microsoft Office LTSC 2021 - 32 e 64 bit
Microsoft Outlook 2016 - 32 e 64 bit
Microsoft Outlook 2013 Service Pack 1 - 32 e 64 bit
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Office 2019 - 32 e 64 bit
La vulnerabilita' non impatta Microsoft Outlook per Android, iOS, Mac
ne' Outlook via web ne' altri servizi M365
:: Impatto
Escalation di privilegi
:: Soluzioni
Per default l'installazione degli aggiornamenti avviene in maniera
automatica.
Per verificare manualmente la disponibilita' di aggiornamenti scegliere
Start > Impostazioni > Aggiornamento e Sicurezza > Windows Update
Windows Update domande frequenti
https://support.microsoft.com/it-it/help/12373/windows-update-faq
Microsoft ha sviluppato un sistema di mitigazione e monitoraggio,
per coloro che utilizzano il server di posta Microsoft exchange,
tramite uno script reperibile a questo indirizzo
https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
Come ulteriore azione di mitigazione e buona pratica in generale,
consigliamo di bloccare tutte le connessioni in uscita dalla propria
struttura verso la porta SMB TCP/445 esclusi i casi di necessita'
:: Riferimenti
Microsoft
https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/
https://msrc.microsoft.com/update-guide/vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
CSIRT Italia
https://www.csirt.gov.it/contenuti/rilevato-sfruttamento-in-rete-della-cve-2023-23397-in-microsoft-outlook-bl01-230317-csirt-ita
Security Boulevard
https://securityboulevard.com/2023/03/detecting-cve-2023-23397-how-to-identify-exploitation-of-the-latest-microsoft-outlook-vulnerability/
TrendMicro
https://www.trendmicro.com/en_us/research/23/c/patch-cve-2023-23397-immediately-what-you-need-to-know-and-do.html
Mitre CVE ID
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23397
GARR CERT Newsletter subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZBrg6QAKCRDBnEyTZRJg
Qj0lAJ4r719+/Nt3w4oiWFHzxAer7gcIEwCg1iRoSeheRY25IqEU0joFRnMJAfw=
=udqm
-----END PGP SIGNATURE-----