Microsoft MSHTML! La vecchia minaccia di Internet Explorer torna a colpire

Redazione RHC : 18 Novembre 2024 14:28

Con il Patch Tuesday di novembre, Microsoft ha sistemato 89 vulnerabilità nei suoi prodotti, due delle quali sono attivamente sfruttate. Una di queste, CVE-2024-43451, è particolarmente allarmante. Consente agli aggressori di ottenere l’accesso all’hash NTLMv2 della vittima.

Sebbene non abbia un’impressionante valutazione CVSS 3.1 (solo 6,5 / 6,0), il suo sfruttamento richiede un’interazione minima da parte dell’utente ed esiste grazie al motore MSHTML, l’eredità di Internet Explorer, che è teoricamente disattivato e non più utilizzato. Tuttavia, tutte le versioni correnti di Windows sono interessate da questa vulnerabilità.

Il CVE-2024-43451 consente a un aggressore di creare un file che, una volta consegnato al computer della vittima, darà all’aggressore la possibilità di rubare l’hash NTLMv2. NTLMv2 è un protocollo di autenticazione di rete utilizzato negli ambienti Microsoft Windows.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Avendo accesso all’hash NTLMv2, un aggressore può eseguire un attacco pass-the-hash e tentare di autenticarsi sulla rete fingendosi un utente legittimo, senza avere le sue credenziali reali.

Naturalmente, CVE-2024-43451 da sola non è sufficiente per un attacco a tutti gli effetti: i criminali informatici dovrebbero usare altre vulnerabilità, ma l’hash NTLMv2 di qualcun altro renderebbe la vita dell’attaccante molto più facile. La descrizione della vulnerabilità afferma chiaramente che la vulnerabilità è divulgata pubblicamente e sono stati rilevati casi di sfruttamento attivi.

Il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha collegato l’attività a un probabile autore della minaccia russa, identificato come UAC-0194. Nelle ultime settimane, l’agenzia ha anche lanciato l’allarme: sono state utilizzate e-mail di phishing con esche di natura fiscale per diffondere un software legittimo per desktop remoto denominato LiteManager, descrivendo la campagna di attacco come motivata da motivi finanziari e condotta da un autore della minaccia denominato UAC-0050.

In genere si presume che se un utente non apre un file dannoso, non può succedere nulla di male. In questo caso, non è vero. Secondo la mini-FAQ nell’avviso della guida all’aggiornamento della sicurezza su CVE-2024-43451 , lo sfruttamento può verificarsi anche quando l’utente seleziona il file (clic singolo con il tasto sinistro), lo ispeziona (con un clic destro) o esegue qualche “azione diversa dall’apertura o dall’esecuzione”.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli