Da marzo di quest’anno gli analisti hanno evidenziato differenti bug su Teams, il popolare strumento di collaborazione di Microsoft. Lo strumento della società di Redmond è divenuto in tempi di pandemia molto popolare e per questo molto attraente per gli agenti di minaccia. Non è dunque un caso che diverse campagne (l’ultima molto recente con il coinvolgimento di diverse decine di migliaia di utenti) abbiano mirato a tecnologie collegate come Office 365 attraverso un phishing che si presenta con un oggetto molto eloquente: "C'è una nuova attività in Teams". Un messaggio naturalmente che vuole fare intendere di essere stato generato da notifica automatica proprio di Microsoft Teams. Cosa c’è sotto? 

Probabilmente proprio quei bug che sono stati individuati e ancora (alcuni) non risolti da Microsoft. Facciamo ordine; i bug in questione sono: 

- un bug che consente la falsificazione degli URL nella funzione di “anteprima dei collegamenti” capace di divenire strumento per attacchi di phishing o per nascondere collegamenti dannosi nei contenuti inviati agli utenti. Essenzialmente questo può essere fatto impostando la destinazione del collegamento di anteprima "su qualsiasi posizione indipendente dal collegamento principale, dall'immagine di anteprima e dalla descrizione, dal

Avevamo già parlato di uno scivolone simile operato da Microsoft, e in qualche misura avevamo predetto la inevitabilità di eventi di tal genere. 

Con la versione 2.15 di log4j appena rilasciata (che ci aveva tranquillizzato), ecco emergere la conoscenza di differenti mutazioni dell’attacco, ed in particolare un vettore di attacco che potrebbe sfruttare Log4Shell rompendo anche il limite dei soli servizi esposti in rete come obiettivi possibili. In questo caso, tramite un server vulnerabile (strategia watering hole), un attaccante potrebbe fare innescare tramite un URL l’attivazione (silente all’utente) di una Javascript WebSocket al caricamento della pagina e porre questa in comunicazione con una destinazione esterna tramite una connessione JNDI: questo perché le WebSocket non rispettano la Same-Origin-Policy. A differenza di altre varianti osservate, questo caso è solo una PoC, quindi una idea e non una certezza, ma un brivido corre lungo la schiena. 

Ma ancora una volta non si fa

L’emergere di un PoC che dimostra lo sfruttamento di alcuni bugs in Windows Active Directory ha creato una certa urgenza nell’applicare correttivi a questi bugs. Si tratta di correttivi già predisposti da Microsoft lo scorso mese. L’implementazione funzionante del PoC è stata resa disponibile su GitHub a poche settimane dal rilascio della patch: questo atto ha innescato il criterio di urgenza. 

È così che Microsoft è stata costretta a lanciare (lo scorso lunedì) una allerta ai sui clienti, perché predispongano urgentemente la correzione alle vulnerabilità collegate al PoC. È risaputo(anche da Microsoft) il cronico ritardo che molti utenti aziendali hanno nell’aggiornare il loro asset, esponendosi così a rischi derivanti da minacce fin troppo note, ma anche facilmente evitabili.  

Le vulnerabilità oggetto di tutto questo interesse sono state registrate come CVE-2021-42287 e CVE-2021-42278 (con gravità 7.5), e come detto già corrette da Microsoft con l’aggiornamento “November 2021 Patch Tuesday”. Le vulnerabilità consentono all’attaccante di

Molte realtà hanno la cattiva abitudine di amministrare le proprie infrastrutture direttamente da Internet, esponendo interfacce amministrative direttamente nel cyberspazio e così facendo esponendosi alle potenziali ed inevitabili conseguenze. 

È quello che è stato possibile per un lungo periodo e su differenti versioni (dalla 2010 alla 2019 upd 4) di Microsoft Exchange Server per la vulnerabilità CVE-2020-0688 (di cui Microsoft ha rilasciato correzione nel febbraio del 2020) quando si rendesse esposto Exchange Control Panel (ECP, uno degli strumenti amministrativi Web che si sono susseguiti nella storia evolutiva di Exchange). Questo poteva rendere possibile, mediante la precedente vulnerabilità (Microsoft Exchange Memory Corruption Vulnerability), di ottenere una remota code execution (RCE). 

La medesima strategia è stata ora utilizzata in un nuovo attacco sviluppato a partire dall’esecuzione remota di uno script PowerShell capace di impiantare un modulo per Internet Information Services (IIS, la suite di software per server Web/hosting Web di Microsoft) con