Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Microsoft MSHTML! La vecchia minaccia di Internet Explorer torna a colpire

Redazione RHC : 18 Novembre 2024 14:28

Con il Patch Tuesday di novembre, Microsoft ha sistemato 89 vulnerabilità nei suoi prodotti, due delle quali sono attivamente sfruttate. Una di queste, CVE-2024-43451, è particolarmente allarmante. Consente agli aggressori di ottenere l’accesso all’hash NTLMv2 della vittima.

Sebbene non abbia un’impressionante valutazione CVSS 3.1 (solo 6,5 / 6,0), il suo sfruttamento richiede un’interazione minima da parte dell’utente ed esiste grazie al motore MSHTML, l’eredità di Internet Explorer, che è teoricamente disattivato e non più utilizzato. Tuttavia, tutte le versioni correnti di Windows sono interessate da questa vulnerabilità.

Il CVE-2024-43451 consente a un aggressore di creare un file che, una volta consegnato al computer della vittima, darà all’aggressore la possibilità di rubare l’hash NTLMv2. NTLMv2 è un protocollo di autenticazione di rete utilizzato negli ambienti Microsoft Windows.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Avendo accesso all’hash NTLMv2, un aggressore può eseguire un attacco pass-the-hash e tentare di autenticarsi sulla rete fingendosi un utente legittimo, senza avere le sue credenziali reali.

Naturalmente, CVE-2024-43451 da sola non è sufficiente per un attacco a tutti gli effetti: i criminali informatici dovrebbero usare altre vulnerabilità, ma l’hash NTLMv2 di qualcun altro renderebbe la vita dell’attaccante molto più facile. La descrizione della vulnerabilità afferma chiaramente che la vulnerabilità è divulgata pubblicamente e sono stati rilevati casi di sfruttamento attivi.

Il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha collegato l’attività a un probabile autore della minaccia russa, identificato come UAC-0194. Nelle ultime settimane, l’agenzia ha anche lanciato l’allarme: sono state utilizzate e-mail di phishing con esche di natura fiscale per diffondere un software legittimo per desktop remoto denominato LiteManager, descrivendo la campagna di attacco come motivata da motivi finanziari e condotta da un autore della minaccia denominato UAC-0050.

In genere si presume che se un utente non apre un file dannoso, non può succedere nulla di male. In questo caso, non è vero. Secondo la mini-FAQ nell’avviso della guida all’aggiornamento della sicurezza su CVE-2024-43451 , lo sfruttamento può verificarsi anche quando l’utente seleziona il file (clic singolo con il tasto sinistro), lo ispeziona (con un clic destro) o esegue qualche “azione diversa dall’apertura o dall’esecuzione”.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware

Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...

Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di a...

Falso Mito: Se uso una VPN, sono completamente al sicuro anche su reti WiFi Aperte e non sicure

Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per c...

In Cina il CNVD premia i migliori ricercatori di sicurezza e la collaborazione tra istituzioni e aziende

Durante una conferenza nazionale dedicata alla sicurezza informatica, sono stati ufficialmente premiati enti, aziende e professionisti che nel 2024 hanno dato un contributo significativo al National I...

Quando l’MFA non basta! Abbiamo Violato il Login Multi-Fattore Per Capire Come Difenderci Meglio

Nel mondo della cybersecurity esiste una verità scomoda quanto inevitabile: per difendere davvero qualcosa, bisogna sapere come violarlo. L’autenticazione multi-fattore è una delle co...