La vulnerabilità consente a un’e-mail falsa di essere spacciata per un messaggio proveniente da un contatto reale.
I ricercatori di sicurezza hanno scoperto un bug nel client di posta elettronica di Microsoft Outlook che può indurre un utente a spacciare un’e-mail falsa come messaggio di un contatto reale.
Si tratta di attacchi omografici in cui i criminali informatici utilizzano domini di phishing con caratteri Unicode non standard, molto simili all’alfabeto latino. Più di un decennio fa, ICANN ha autorizzato la registrazione di nomi di dominio internazionalizzati (IDN), consentendo di adattare i domini a lingue e scritture diverse utilizzando i caratteri Unicode. Ma il problema è che molti di questi caratteri sono molto simili alle lettere dell’alfabeto latino, che è quello che usano i truffatori per creare siti web falsi con nomi che assomigliano visivamente a quelli reali.
Come si è scoperto, le e-mail inviate da domini altrettanto legittimi in Outlook mostreranno la scheda di contatto di una persona reale registrata sul dominio ufficiale. Il problema risiede nella funzione Rubrica Indirizzi, che non fa distinzioni quando si visualizzano le informazioni di contatto.
“Una vulnerabilità nel componente Rubrica di Microsoft Office per Windows consente a chiunque di falsificare le informazioni di contatto dei dipendenti di un’organizzazione utilizzando un dominio IDN esterno simile. Cioè, se il dominio dell’azienda è “somecompany [.] Com”, un utente malintenzionato che ha registrato un IDN, ad esempio “ѕomecompany [.] Com” (xn – omecompany-l2i [.] Com) può sfruttare il bug e inviare email di phishing persuasive ai dipendenti della società “somecompany.com”, che utilizza Microsoft Outlook per Windows”, ha spiegato un esperto di sicurezza delle informazioni con lo pseudonimo di DobbyWanKenobi nell’analisi tecnica.
Il ricercatore Mike Manzotti ha riportato lo stesso bug. Ha scoperto che Outlook per Office 365 convalida in modo errato i nomi di dominio in Punycode, consentendo a un utente malintenzionato di impersonare qualsiasi contatto valido nell’organizzazione di destinazione.
Microsoft ha riconosciuto il bug ma si è rifiutata di risolverlo. Tuttavia, l’azienda ha corretto la vulnerabilità nella versione 16.0.14228.20216 di Outlook. Con Outlook Web Access (OWA), Manzotti ha affermato che questo attacco non funziona.
