Redazione RHC : 24 Gennaio 2025 10:38
È stata rilasciata una nuova proof-of-concept (PoC) per la vulnerabilità di esecuzione di codice remoto (RCE) 0click di Microsoft Outlook in Windows Object Linking and Embedding (OLE), identificata come CVE-2025-21298.
Questa falla, che ha raggiunto un punteggio sbalorditivo di 9,8 sulla scala CVSS, è stata rivelata dall’esperto di sicurezza informatica Matt Johansen tramite un thread su X, evidenziando la gravità e il potenziale impatto della vulnerabilità.
Il PoC dimostra la corruzione della memoria, facendo luce sul potenziale sfruttamento del difetto attraverso il componente ole32.dll, che può comportare gravi rischi per la sicurezza se non corretta.
Cybersecurity Awareness per la tua azienda? Scopri BETTI RHC!Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel, l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Scopri di più sul corso a fumetti di Red Hot Cyber. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La vulnerabilità risiede nel file ole32.dll, individuato in un errore double-free nella funzione UtOlePresStmToContentsStm. Questa funzione è responsabile dell’elaborazione di oggetti OLE incorporati nei file Rich Text Format (RTF), una funzionalità comune in Microsoft Outlook.
Il problema si verifica quando la funzione gestisce in modo improprio il puntatore pstmContents, dopo che è diventato un puntatore che fa riferimento alla memoria liberata in precedenza. Se la funzione UtReadOlePresStmHeader fallisce, il codice rilascia inavvertitamente di nuovo il puntatore di memoria, generando un’operazione di doppia liberazione.
Questa falla è particolarmente pericolosa perché può essere sfruttata tramite file RTF dannosi contenenti oggetti OLE incorporati, che potrebbero essere attivati in applicazioni come Microsoft Word o Outlook. Il punteggio CVSS della vulnerabilità è 9,8, il che indica una gravità critica, dovuta in gran parte alla natura zero-click, grazie alla quale gli aggressori potrebbero creare payload per sfruttare il difetto senza l’interazione dell’utente.
È stata rilasciata una patch che imposta esplicitamente il puntatore pstmContents su NULL dopo il rilascio, impedendo il problema del double-free. Lo sfruttamento potrebbe potenzialmente estendersi oltre i file RTF ad altri formati supportati da OLE.
Secondo Johansen, gli aggressori possono sfruttare questa vulnerabilità semplicemente inviando via e-mail un file RTF contraffatto che, una volta visualizzato in anteprima in Outlook, attiva la condizione di doppia liberazione, determinando l’esecuzione di codice arbitrario senza alcuna interazione da parte dell’utente.
Ciò significa che semplicemente visualizzando in anteprima un’e-mail, il sistema di un utente potrebbe essere compromesso, consentendo agli aggressori di installare malware, rubare dati o aumentare i propri privilegi all’interno della rete.
La falla interessa un’ampia gamma di versioni di Microsoft Windows, da Windows 10 a Windows 11, e le versioni server 2008 fino alla più recente 2025. La semplicità dell’exploit, che richiede semplicemente l’anteprima di un’e-mail dannosa, sottolinea l’urgenza per utenti e organizzazioni di applicare immediatamente la patch.
In risposta, Microsoft ha rilasciato una correzione nel ciclo di patch di gennaio 2025, come spiegato in dettaglio da Johansen. La patch annulla il puntatore dopo che è stato liberato e include routine di gestione degli errori migliorate per impedire questo tipo di corruzione della memoria in futuro.
Microsoft ha invitato tutti gli utenti ad installare questo aggiornamento il prima possibile per ridurre al minimo il rischio.
Il CERT-AGID ha rilevato una nuova variante del phishing ai danni di PagoPA. La campagna, ancora a tema multe come le precedenti, sfrutta questa volta un meccanismo di open redirect su domini legittim...
Jen-Hsun Huang, fondatore e CEO di Nvidia, ha rivelato che le recenti restrizioni all’esportazione hanno drasticamente ridotto la presenza dei chip AI dell’azienda in Cina, passando dal 95% a una ...
Il Giubileo 2025 a Roma rappresenta una sfida non solo per la gestione di milioni di pellegrini e turisti, ma anche per la protezione dello spazio aereo urbano. I droni, sempre più diffusi e accessib...
Il 15 ottobre 2025 segna un anniversario di eccezionale rilievo nella storia della sicurezza nazionale italiana: cento anni dalla nascita del Servizio Informazioni Militare (SIM), primo servizio di in...
Un nuovo post sul dark web offre l’accesso completo a migliaia di server e database MySQL appartenenti a provider italiani di hosting condiviso. Nelle ultime ore è apparso su un forum underground u...