Microsoft MSHTML! La vecchia minaccia di Internet Explorer torna a colpire

Con il Patch Tuesday di novembre, Microsoft ha sistemato 89 vulnerabilità nei suoi prodotti, due delle quali sono attivamente sfruttate. Una di queste, CVE-2024-43451, è particolarmente allarmante. Consente agli aggressori di ottenere l’accesso all’hash NTLMv2 della vittima.

Sebbene non abbia un’impressionante valutazione CVSS 3.1 (solo 6,5 / 6,0), il suo sfruttamento richiede un’interazione minima da parte dell’utente ed esiste grazie al motore MSHTML, l’eredità di Internet Explorer, che è teoricamente disattivato e non più utilizzato. Tuttavia, tutte le versioni correnti di Windows sono interessate da questa vulnerabilità.

Il CVE-2024-43451 consente a un aggressore di creare un file che, una volta consegnato al computer della vittima, darà all’aggressore la possibilità di rubare l’hash NTLMv2. NTLMv2 è un protocollo di autenticazione di rete utilizzato negli ambienti Microsoft Windows.

Avendo accesso all’hash NTLMv2, un aggressore può eseguire un attacco pass-the-hash e tentare di autenticarsi sulla rete fingendosi un utente legittimo, senza avere le sue credenziali reali.

Naturalmente, CVE-2024-43451 da sola non è sufficiente per un attacco a tutti gli effetti: i criminali informatici dovrebbero usare altre vulnerabilità, ma l’hash NTLMv2 di qualcun altro renderebbe la vita dell’attaccante molto più facile. La descrizione della vulnerabilità afferma chiaramente che la vulnerabilità è divulgata pubblicamente e sono stati rilevati casi di sfruttamento attivi.

Il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha collegato l’attività a un probabile autore della minaccia russa, identificato come UAC-0194. Nelle ultime settimane, l’agenzia ha anche lanciato l’allarme: sono state utilizzate e-mail di phishing con esche di natura fiscale per diffondere un software legittimo per desktop remoto denominato LiteManager, descrivendo la campagna di attacco come motivata da motivi finanziari e condotta da un autore della minaccia denominato UAC-0050.

In genere si presume che se un utente non apre un file dannoso, non può succedere nulla di male. In questo caso, non è vero. Secondo la mini-FAQ nell’avviso della guida all’aggiornamento della sicurezza su CVE-2024-43451 , lo sfruttamento può verificarsi anche quando l’utente seleziona il file (clic singolo con il tasto sinistro), lo ispeziona (con un clic destro) o esegue qualche “azione diversa dall’apertura o dall’esecuzione”.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.