Ani typické zabezpečenie e-mailu vás neochráni pred touto inteligentnou zraniteľnosťou v programe Outlook. Našťastie nie ste bezmocní.

Hackeri neustále hľadajú nové spôsoby, ako preniknúť do zabezpečených sietí. Je to náročná výzva, pretože všetky zodpovedné podniky investujú do bezpečnosti. Jedna metóda, ktorá bude vždy účinná, je použitie nových zraniteľností v populárnych softvérových produktoch.

V programe Outlook bola nedávno objavená chyba zabezpečenia, ktorá umožňuje hackerom ukradnúť heslá jednoduchým odoslaním e-mailu majiteľovi účtu. Bola vydaná oprava, ale mnoho firiem ešte neaktualizovalo svoju verziu Outlooku.

V čom teda spočíva táto zraniteľnosť a ako sa proti nej môžu podniky brániť?

Čo je zraniteľnosť CVE-2023-23397?

Chyba zabezpečenia CVE-2023-23397 je zraniteľnosť týkajúca sa eskalácie privilégií, ktorá ovplyvňuje Microsoft Outlook spustený v systéme Windows.

Predpokladá sa, že táto zraniteľnosť bola od apríla do decembra 2022 využívaná národnými štátnymi aktérmi proti širokej škále priemyselných odvetví. Oprava bola vydaná v marci 2023.

instagram viewer

Zatiaľ čo vydanie opravy znamená, že organizácie sa proti nej môžu ľahko brániť, skutočnosť, že je teraz silne medializovaná, znamená, že riziko pre podniky, ktoré nevykonávajú opravu, sa zvýšilo.

Nie je nezvyčajné, že zraniteľné miesta, ktoré pôvodne používali národné štáty, sú široko používané jednotlivými hackermi a hackerskými skupinami, keď je známa ich dostupnosť.

Na koho sa zameriava chyba zabezpečenia programu Microsoft Outlook?

Chyba zabezpečenia CVE-2023-23397 je účinná iba v prípade programu Outlook spusteného v systéme Windows. Používatelia Android, Apple a webu nie sú ovplyvnení a nemusia aktualizovať svoj softvér.

Je nepravdepodobné, že by sa zamerali na súkromné ​​osoby, pretože to nie je také ziskové ako zacielenie na podnikanie. Ak však súkromná osoba používa Outlook pre Windows, mala by si aktualizovať svoj softvér.

Podniky budú pravdepodobne primárnym cieľom, pretože mnohí používajú Outlook pre Windows na ochranu svojich dôležitých údajov. Ľahkosť, s akou je možné útok vykonať, a množstvo podnikov, ktoré softvér používajú, znamenajú, že táto zraniteľnosť sa pravdepodobne stane populárnou medzi hackermi.

Ako funguje zraniteľnosť?

Tento útok používa e-mail so špecifickými vlastnosťami, ktorý spôsobí, že Microsoft Outlook odhalí NTLM hash obete. NTLM je skratka pre New Technology LAN Master a tento hash možno použiť na autentifikáciu k účtu obete.

E-mail získava hash pomocou rozšíreného MAPI (Microsoft Outlook Messaging Application Programming Interface) vlastnosť, ktorá obsahuje cestu zdieľania Server Message Block, ktorá je riadená útočník.

Keď program Outlook dostane tento e-mail, pokúsi sa overiť svoju totožnosť pre zdieľanie SMB pomocou svojho hash NTLM. Hacker ovládajúci zdieľanie SMB potom môže získať prístup k hashu.

Prečo je zraniteľnosť programu Outlook taká účinná?

CVE-2023-23397 je efektívna zraniteľnosť z niekoľkých dôvodov:

  • Outlook používa široká škála firiem. To ho robí atraktívnym pre hackerov.
  • Zraniteľnosť CVE-2023-23397 sa ľahko používa a jej implementácia nevyžaduje veľa technických znalostí.
  • Proti zraniteľnosti CVE-2023-23397 je ťažké brániť sa. Väčšina útokov založených na e-mailoch vyžaduje, aby príjemca interagoval s e-mailom. Táto zraniteľnosť je účinná bez akejkoľvek interakcie. Z tohto dôvodu vzdelávanie zamestnancov o phishingových e-mailoch alebo povedať im, aby nesťahovali prílohy e-mailov (t. j. tradičné metódy, ako sa vyhnúť škodlivým e-mailom), nemá žiadny účinok.
  • Tento útok nepoužíva žiadny typ malvéru. Z tohto dôvodu ho nezachytí bezpečnostný softvér.

Čo sa stane s obeťami tejto zraniteľnosti?

Chyba zabezpečenia CVE-2023-23397 umožňuje útočníkovi získať prístup k účtu obete. Výsledok teda závisí od toho, k čomu má obeť prístup. Útočník môže ukradnúť dáta resp spustiť ransomvérový útok.

Ak má obeť prístup k súkromným údajom, útočník ich môže ukradnúť. V prípade informácií o zákazníkovi, môže sa predávať na dark webe. To je problematické nielen pre zákazníkov, ale aj pre povesť podniku.

Útočník môže byť tiež schopný zašifrovať súkromné ​​alebo dôležité informácie pomocou ransomvéru. Po úspešnom útoku ransomvéru sú všetky údaje nedostupné, pokiaľ podnik nezaplatí útočníkovi výkupné (a aj vtedy sa kyberzločinci môžu rozhodnúť, že údaje nedešifrujú).

Ako skontrolovať, či sa vás týka chyba zabezpečenia CVE-2023-23397

Ak si myslíte, že vaša firma už mohla byť ovplyvnená touto chybou zabezpečenia, môžete svoj systém skontrolovať automaticky pomocou skriptu PowerShell od spoločnosti Microsoft. Tento skript prehľadáva vaše súbory a hľadá parametre, ktoré sa používajú pri tomto útoku. Po ich nájdení ich môžete vymazať zo svojho systému. Skript je prístupný cez Microsoft.

Ako sa chrániť pred touto zraniteľnosťou

Optimálnym spôsobom ochrany pred touto chybou zabezpečenia je aktualizácia všetkého softvéru programu Outlook. Spoločnosť Microsoft vydala opravu 14. marca 2023 a po nainštalovaní budú všetky pokusy o tento útok neúčinné.

Zatiaľ čo oprava softvéru by mala byť prioritou pre všetky podniky, ak to z nejakého dôvodu nie je možné dosiahnuť, existujú aj iné spôsoby, ako zabrániť úspechu tohto útoku. Zahŕňajú:

  • Blokovať odchádzajúce TCP 445. Tento útok používa port 445 a ak nie je možná komunikácia cez tento port, útok bude neúspešný. Ak potrebujete port 445 na iné účely, mali by ste sledovať všetku komunikáciu cez tento port a blokovať všetko, čo smeruje na externú IP adresu.
  • Pridajte všetkých používateľov do skupiny Protected User Security Group. Žiadny používateľ v tejto skupine nemôže použiť NTLM ako metódu autentifikácie. Je dôležité poznamenať, že to môže rušiť aj akékoľvek aplikácie, ktoré využívajú NTLM.
  • Požiadajte, aby všetci používatelia zakázali nastavenie Zobraziť pripomienky v programe Outlook. To môže zabrániť útočníkovi v prístupe k povereniam NTLM.
  • Požiadajte všetkých používateľov, aby zakázali službu WebClient. Je dôležité poznamenať, že to zabráni všetkým pripojeniam WebDev vrátane pripojenia cez intranet, a preto to nie je nevyhnutne vhodná možnosť.

Potrebujete vykonať opravu proti chybe zabezpečenia CVE-2023-23397

Zraniteľnosť CVE-2023-23397 je významná z dôvodu popularity programu Outlook a množstva prístupu, ktorý poskytuje útočníkovi. Úspešný útok umožňuje kyberútočníkovi získať prístup k účtu obete, ktorý môže byť použitý na krádež alebo šifrovanie údajov.

Jediným spôsobom, ako sa pred týmto útokom správne chrániť, je aktualizovať softvér Outlook pomocou potrebnej opravy, ktorú spoločnosť Microsoft sprístupnila. Každý podnik, ktorý tak neurobí, je pre hackerov atraktívnym cieľom.