Microsoft rilascia dopo oltre un anno la patch per un bug che mette a rischio di furto le credenziali di accesso degli account utente, ma è incompleta
Se utilizzi Outlook per la posta elettronica dovrai fare particolare attenzione e adottare qualche misura di sicurezza in più per proteggere i tuoi dati: è emerso infatti un grave bug che consentirebbe il furto delle credenziali di accesso di un account senza alcun clic da parte dell’utente. La vulnerabilità, segnalata 18 mesi fa, risulta ad oggi risolta soltanto parzialmente.
Il bug: basta visualizzare l’anteprima di una mail per farsi rubare la password
La falla in questione è la CVE-2018-0950 ed è stata scoperta e segnalata a novembre 2016 da Will Dormann, ricercatore del CERT Coordination Center.
Essa è legata all’utilizzo di oggetti OLE remoti contenuti nei messaggi di posta elettronica. Per impostazione predefinita di Outlook, quando viene visualizzato in anteprima un messaggio di posta RTF, Windows esegue automaticamente il rendering di contenuti OLE effettuando una connessione al server SMB remoto per poter visualizzare l’oggetto.
Nel fare ciò condivide con il server il nome di dominio e dell’host, il nome utente e l’hash della password, il che consente il potenziale accesso all’account della vittima, se la password non è sufficientemente complessa da impedire di risalirci a partire dall’hash.
La soluzione c’è, ma è incompleta
Microsoft ha preso provvedimenti in merito con il Patch Tuesday dell’11 aprile 2018, quando ha rilasciato un aggiornamento a risoluzione del bug, impedendo a Outlook di avviare in automatico connessioni verso server remoti SMB quando viene visualizzata la preview di un’email RTF.
A detta di Dormann, tuttavia, si tratta di un rimedio parziale, che non va alla base del problema. Basterebbe un clic da parte dell’utente, ad esempio su un link UNC che cominci con “\\” contenuto in un’email, per avviare una connessione SMB che trasmette gli stessi dati di accesso.
Come proteggere i dati di accesso del tuo account fino a che Microsoft non adotterà una soluzione definitiva?
La prima strada, ovviamente, è quella di adottare un servizio diverso da Outlook. In alternativa, ecco gli accorgimenti per ridurre i rischi:
- Innanzitutto, usa password complesse, così che siano difficili da crackare anche in caso di furto dell’hash
- Non cliccare su link sospetti, o contenuti in email di sospetta provenienza
- Chiudi le specifiche porte (tcp 445, tcp 137, tcp 139, udp 137 e udp 139) usate per le sessioni SMB, come suggerito dal CERT Coordination Center
- Blocca l’autenticazione Single Sign-On di NT Lan Manager
Fonti:
https://www.zeusnews.it/n.php?c=26294
http://www.ictbusiness.it/cont/news/microsoft-risolve-a-meta-una-vulnerabilita-di-outlook/41289/1.html#.Wt8kA4hubcs
Puoi minimizzare il rischio di ricevere email infette o indesiderate utilizzando la soluzione di antivirus evoluto e il servizio antispam su piattaforma cloud forniti da AP Consulting.