L'analisi

Cybercrime, Microsoft Outlook ancora esposto a rischi?

di |

Sembra che una vulnerabilità del servizio di posta targato Outlook possa fornire ben più che un aiuto ai Criminal Hacker specializzati in certi tipi di attacco.

Le email sono da tempo uno degli anelli deboli nel perimetro di un Cyber Security Framework. Come non ricordare i casi che hanno coinvolto Hilary Clinton e il Democratic National Committee (DNC) e lo scandalo che ne seguì…tutto nato da una campagna di phishing ad opera di un gruppo di Criminal Hacker russi.

Anche in Italia non sono mancati i casi di primo piano, come la truffa ai danni del colosso Maire Tecnimont, costata svariati milioni di euro e originata da una mail.

Ora sembra che una vulnerabilità del servizio di posta targato Outlook possa fornire ben più che un aiuto ai Criminal Hacker specializzati in questo tipo d’attacco.

Outlook sotto la lente d’ingrandimento

La criticità in questione era stata scoperta e “fixata” già in tempi non sospetti nell’ottobre del 2017. Questa si nascondeva in una funzionalità non molto conosciuta di uno dei programmi per la gestione delle mail più diffusi al mondo: la Home page.

Questa finestra – in teoria – funge da schermata principale e ha la capacità di caricare contenuti esterni, per esempio dal server aziendale o dal sito.

In pratica questa funzione è praticamente ignorata o sconosciuta alla maggior parte degli utenti, perché giustamente la maggior parte di noi apre Outlook direttamente dall’inbox.

Questa feature nascosta è saltata, sfortunatamente, all’occhio di alcuni Criminal Hacker che si sono resi conto che – ottenute le credenziali di accesso di un utente – avrebbero potuto utilizzare una vulnerabilità del programma per caricare file come malware o spyware e, di conseguenza, avrebbero potuto eseguire codice di expolit per bypassare le difese di Outlook e prendere direttamente il controllo del sistema operativo del device bersaglio.

Una delle peculiarità di questo attacco è la sua bassa tracciabilità, in particolare perché ha tutte le caratteristiche di semplice traffico dati Outlook. Come se non bastasse, una volta compromesso il sistema, la backdoor installata dai Criminal Hacker sopravvive anche dopo un Reboot della macchina.

Un pericolo sottovalutato

Inizialmente (2017) Microsoft aveva classificato la vulnerabilità come di bassa severità e aveva aggiunto che questa non era mai stata replicata al di fuori degli ambienti di test dei ricercatori di Cyber Security.

Questo strideva con le evidenze riscontrate. In particolare alcuni gruppi di Criminal Hacker sponsorizzati e spalleggiati dagli Stati come gli arci-noti APT33 e APT34, erano stati collegati all’utilizzo di questo particolare exploit.

Fast forward al luglio di quest’anno e il Dipartimento di Stato americano si è visto costretto a emanare un’allerta riguardo la possibilità di attacchi attraverso questa falla.

Solo ad ottobre 2019, Microsoft si è vista costretta a rimangiarsi le sue parole, ammettendo che i già citati gruppi avevano preso di mira gli account Office 365 dello staff della campagna presidenziale di Donald Trump.

Quando le “toppe” non funzionano

Come accennato, Microsoft aveva già emanato una patch di sicurezza nel 2017 quando per la prima volta era emersa la possibile vulnerabilità. Questo, giustamente, aveva dato l’impressione agli utenti che il “caso fosse chiuso” con l’ultimo aggiornamento.

Il “fix” essenzialmente riduceva l’ambito delle operazioni concesse alla Home Page attraverso degli aggiustamenti del registro di Windows (di fatto il database che controlla i settaggi del sistema operativo e dei programmi proprietari). Ma nonostante questo è stato facile trovare l’escamotage – sia per i ricercatori che hanno analizzato la problematica sia per i Criminal Hacker – per aggirare questi cambiamenti e ripristinare la vulnerabilità al suo stato originale, anche dopo che la patch di sicurezza era stata installata.

La soluzione

Se, come detto, non possiamo difenderci attraverso l’aggiornamento di Microsoft, qual è la soluzione per difenderci dall’exploit di questo tipo di attacco?

L’unica soluzione al momento è un effettivo Lock-down delle chiavi di registro attraverso una configurazione delle Group Policy in maniera tale che sia impossibile per un potenziale attaccante riuscire a fare il roll-back dei cambiamenti implementati con la patch del 2017.

Tecnicamente l’exploit in questione, richiedendo un certo livello di accesso per effettuare l’annullamento delle modifiche, non ha annullato la patch di sicurezza di Microsoft, quindi questa non si può considerare un fallimento.

Ma la problematica non solo esiste, ma è anche pressoché sconosciuta e potenzialmente molto pericolosa.

Leggi le altre notizie sull’home page di Key4biz