Nawet typowe zabezpieczenia poczty e-mail nie ochronią Cię przed tą sprytną luką w Outlooku. Na szczęście nie jesteś bezradny.

Hakerzy nieustannie poszukują nowych sposobów infiltracji bezpiecznych sieci. To trudne wyzwanie, ponieważ wszystkie odpowiedzialne firmy inwestują w bezpieczeństwo. Jednak jedną z metod, która zawsze będzie skuteczna, jest wykorzystanie nowych luk w zabezpieczeniach popularnego oprogramowania.

Niedawno wykryto lukę w Outlooku, która umożliwia hakerom kradzież haseł poprzez proste wysłanie wiadomości e-mail do właściciela konta. Została wydana poprawka, ale wiele firm nie zaktualizowało jeszcze swojej wersji programu Outlook.

Czym jest ta luka w zabezpieczeniach i jak firmy mogą się przed nią bronić?

Na czym polega luka CVE-2023-23397?

Luka CVE-2023-23397 to luka w zabezpieczeniach umożliwiająca eskalację uprawnień, która dotyczy programu Microsoft Outlook działającego w systemie Windows.

Uważa się, że luka ta była wykorzystywana od kwietnia do grudnia 2022 r. przez podmioty z państw narodowych przeciwko wielu różnym branżom. Łatka została wydana w marcu 2023 roku.

instagram viewer

Chociaż wydanie poprawki oznacza, że ​​organizacje mogą łatwo się przed nią bronić, fakt, że jest ona obecnie szeroko nagłaśniana, oznacza, że ​​wzrosło ryzyko dla firm, które nie stosują poprawek.

Nierzadko zdarza się, że luki w zabezpieczeniach wykorzystywane przez państwa narodowe są szeroko wykorzystywane przez indywidualnych hakerów i grupy hakerskie, gdy jest znana ich dostępność.

Kto jest celem luki w zabezpieczeniach programu Microsoft Outlook?

Luka CVE-2023-23397 dotyczy tylko programu Outlook działającego w systemie Windows. Nie ma to wpływu na użytkowników Androida, Apple i użytkowników Internetu, którzy nie muszą aktualizować swojego oprogramowania.

Jest mało prawdopodobne, aby osoby prywatne stały się celem ataków, ponieważ nie jest to tak opłacalne, jak atakowanie firmy. Jeśli jednak osoba prywatna korzysta z programu Outlook dla systemu Windows, nadal powinna aktualizować swoje oprogramowanie.

Przedsiębiorstwa prawdopodobnie będą głównym celem, ponieważ wiele z nich używa programu Outlook dla systemu Windows do ochrony swoich ważnych danych. Łatwość przeprowadzenia ataku oraz liczba firm korzystających z oprogramowania sprawiają, że luka ta prawdopodobnie stanie się popularna wśród hakerów.

Jak działa luka w zabezpieczeniach?

Ten atak wykorzystuje wiadomość e-mail o określonych właściwościach, które powodują, że program Microsoft Outlook ujawnia skrót NTLM ofiary. NTLM oznacza New Technology LAN Master i ten skrót może być użyty do uwierzytelnienia na koncie ofiary.

Wiadomość e-mail uzyskuje skrót za pomocą rozszerzonego interfejsu MAPI (Microsoft Outlook Messaging Application Programming Interface), która zawiera ścieżkę do udziału Server Message Block, który jest kontrolowany przez napastnik.

Po otrzymaniu tej wiadomości e-mail program Outlook próbuje uwierzytelnić się w udziale SMB przy użyciu skrótu NTLM. Haker kontrolujący udział SMB może wtedy uzyskać dostęp do skrótu.

Dlaczego luka w zabezpieczeniach programu Outlook jest tak skuteczna?

CVE-2023-23397 jest skuteczną luką z kilku powodów:

  • Outlook jest używany przez wiele różnych firm. To czyni go atrakcyjnym dla hakerów.
  • Luka CVE-2023-23397 jest łatwa w użyciu i nie wymaga dużej wiedzy technicznej do wdrożenia.
  • Luka CVE-2023-23397 jest trudna do obrony. Większość ataków opartych na wiadomościach e-mail wymaga od odbiorcy interakcji z wiadomością e-mail. Ta luka jest skuteczna bez interakcji. Z tego powodu kształcenie pracowników o wiadomościach phishingowych lub nakazanie im, aby nie pobierali załączników do wiadomości e-mail (tj. tradycyjne metody unikania złośliwych wiadomości e-mail) nie przynosi żadnego efektu.
  • Ten atak nie wykorzystuje żadnego rodzaju złośliwego oprogramowania. Z tego powodu nie zostanie wykryty przez oprogramowanie zabezpieczające.

Co dzieje się z ofiarami tej luki w zabezpieczeniach?

Luka CVE-2023-23397 umożliwia atakującemu uzyskanie dostępu do konta ofiary. Wynik zależy zatem od tego, do czego ofiara ma dostęp. Atakujący może ukraść dane lub przeprowadzić atak ransomware.

Jeśli ofiara ma dostęp do prywatnych danych, atakujący może je ukraść. W przypadku informacji o kliencie można go sprzedać w ciemnej sieci. Jest to problem nie tylko dla klientów, ale także dla reputacji firmy.

Osoba atakująca może również być w stanie zaszyfrować prywatne lub ważne informacje za pomocą oprogramowania ransomware. Po udanym ataku ransomware wszystkie dane są niedostępne, chyba że firma zapłaci atakującemu okup (i nawet wtedy cyberprzestępcy mogą zdecydować się nie odszyfrowywać danych).

Jak sprawdzić, czy dotyczy Cię luka CVE-2023-23397

Jeśli uważasz, że ta luka mogła już dotyczyć Twojej firmy, możesz automatycznie sprawdzić swój system za pomocą skryptu PowerShell firmy Microsoft. Ten skrypt przeszukuje twoje pliki i szuka parametrów, które są używane w tym ataku. Po ich znalezieniu możesz usunąć je ze swojego systemu. Dostęp do skryptu jest możliwy za pośrednictwem Microsoftu.

Jak chronić się przed tą luką w zabezpieczeniach

Optymalnym sposobem ochrony przed tą luką jest aktualizacja całego oprogramowania Outlook. Microsoft wydał poprawkę 14 marca 2023 r., a po zainstalowaniu wszelkie próby tego ataku będą nieskuteczne.

Chociaż łatanie oprogramowania powinno być priorytetem dla wszystkich firm, jeśli z jakiegoś powodu nie można tego osiągnąć, istnieją inne sposoby zapobiegania temu atakowi. Zawierają:

  • Blokuj ruch wychodzący TCP 445. Ten atak wykorzystuje port 445 i jeśli komunikacja przez ten port nie jest możliwa, atak zakończy się niepowodzeniem. Jeśli potrzebujesz portu 445 do innych celów, powinieneś monitorować cały ruch na tym porcie i blokować wszystko, co przechodzi na zewnętrzny adres IP.
  • Dodaj wszystkich użytkowników do chronionej grupy zabezpieczeń użytkowników. Żaden użytkownik w tej grupie nie może używać NTLM jako metody uwierzytelniania. Należy zauważyć, że może to również zakłócać działanie aplikacji korzystających z protokołu NTLM.
  • Poproś wszystkich użytkowników o wyłączenie ustawienia Pokaż przypomnienia w programie Outlook. Może to uniemożliwić atakującemu dostęp do poświadczeń NTLM.
  • Poproś wszystkich użytkowników o wyłączenie usługi WebClient. Należy zauważyć, że uniemożliwi to wszystkie połączenia WebDev, w tym przez intranet, i dlatego niekoniecznie jest odpowiednią opcją.

Musisz zainstalować poprawkę przeciwko luce CVE-2023-23397

Luka CVE-2023-23397 jest istotna ze względu na popularność programu Outlook i zakres dostępu, jaki zapewnia atakującemu. Udany atak umożliwia cyberatakującemu uzyskanie dostępu do konta ofiary, które może posłużyć do kradzieży lub zaszyfrowania danych.

Jedynym sposobem na odpowiednią ochronę przed tym atakiem jest aktualizacja oprogramowania Outlook odpowiednią łatką, którą udostępnił Microsoft. Każda firma, która tego nie robi, jest atrakcyjnym celem dla hakerów.