Rilevato sfruttamento in rete della CVE-2023-23397 in Microsoft Outlook

Lo CSIRT Italia segnala che è stato rilevato lo sfruttamento attivo della vulnerabilità 0-day identificata tramite la CVE-2023-23397 - già sanata da Microsoft nel Patch Tuesday di marzo - relativa al client di posta elettronica Outlook.

La vulnerabilità, con score CVSS v3 pari a 9.8, potrebbe essere utilizzata da un utente malevolo remoto per elevare i propri privilegi sui dispositivi target.

Nel dettaglio la vulnerabilità, qualora sfruttata, permette a un attaccante di acquisire l’hash NTLM di account Windows tramite l’invio di una email opportunamente predisposta.
In particolare, la ricezione di tale email - con proprietà MAPI estesa e contenente un path UNC verso un server SMB (porta 445) - comporta il tentativo di connessione automatica da parte del client al server remoto, sotto il controllo dell’attaccante, e il successivo invio del messaggio di negoziazione NTLM dell’utente vittima.

Fonte: CSIRT Italia