Šī paroles uzlaušana nozīmē, ka jūsu darba devējam šodien ir jālabo Microsoft Outlook

Hakeri pastāvīgi meklē jaunus veidus, kā iefiltrēties drošos tīklos. Tas ir grūts izaicinājums, jo visi atbildīgie uzņēmumi iegulda drošībā. Tomēr viena no metodēm, kas vienmēr būs efektīva, ir jaunu ievainojamību izmantošana populāros programmatūras produktos.

Programmā Outlook nesen tika atklāta ievainojamība, kas ļauj hakeriem nozagt paroles, vienkārši nosūtot konta īpašniekam e-pasta ziņojumu. Ir izlaists ielāps, taču daudzi uzņēmumi vēl nav atjauninājuši savu Outlook versiju.

Tātad, kas ir šī ievainojamība, un kā uzņēmumi var pret to aizsargāties?

Kas ir CVE-2023-23397 ievainojamība?

CVE-2023-23397 ievainojamība ir privilēģiju eskalācijas ievainojamība, kas ietekmē Microsoft Outlook, kas darbojas operētājsistēmā Windows.

Tiek uzskatīts, ka nacionālo valstu dalībnieki no 2022. gada aprīļa līdz decembrim ir izmantojuši šo ievainojamību pret dažādām nozarēm. 2023. gada martā tika izlaists ielāps.

Lai gan ielāpa izlaišana nozīmē, ka organizācijas var viegli pret to aizsargāties, fakts, ka tas tagad tiek plaši reklamēts, nozīmē, ka ir palielinājies risks tiem uzņēmumiem, kas to neveic.

Nav nekas neparasts, ka nacionālo valstu sākotnēji izmantotās ievainojamības plaši izmanto atsevišķi hakeri un hakeru grupas, tiklīdz ir zināma to pieejamība.

Uz ko attiecas Microsoft Outlook ievainojamība?

Ievainojamība CVE-2023-23397 ir efektīva tikai programmā Outlook, kas darbojas operētājsistēmā Windows. Android, Apple un tīmekļa lietotāji netiek ietekmēti, un viņiem nav jāatjaunina programmatūra.

Maz ticams, ka mērķauditorija tiks atlasīta privātpersonām, jo ​​​​tas nav tik izdevīgi kā mērķēšana uz uzņēmumu. Tomēr, ja privātpersona izmanto programmu Outlook darbam ar Windows, tai joprojām ir jāatjaunina programmatūra.

Uzņēmumi, visticamāk, būs galvenais mērķis, jo daudzi izmanto programmu Outlook darbam ar Windows, lai aizsargātu savus svarīgos datus. Uzbrukuma veikšanas vieglums un to uzņēmumu skaits, kas izmanto programmatūru, nozīmē, ka ievainojamība, visticamāk, būs populāra hakeru vidū.

Kā darbojas ievainojamība?

Šis uzbrukums izmanto e-pastu ar konkrētiem rekvizītiem, kas liek Microsoft Outlook atklāt upura NTLM jaucējkodu. NTLM apzīmē New Technology LAN Master, un šo jaucējfunkciju var izmantot upura konta autentifikācijai.

E-pasts iegūst jaucējkodu, izmantojot paplašinātu MAPI (Microsoft Outlook Messaging Application Programming Interfeiss) rekvizīts, kas satur servera ziņojumu bloka koplietošanas ceļu, ko kontrolē uzbrucējs.

Kad programma Outlook saņem šo e-pasta ziņojumu, tā mēģina autentificēties SMB koplietojumam, izmantojot savu NTLM jaucējfunkciju. Hakeris, kas kontrolē SMB koplietojumu, var piekļūt jaucējfailam.

Kāpēc Outlook ievainojamība ir tik efektīva?

CVE-2023-23397 ir efektīva ievainojamība vairāku iemeslu dēļ.

• Programmu Outlook izmanto ļoti dažādi uzņēmumi. Tas padara to pievilcīgu hakeriem.
• CVE-2023-23397 ievainojamība ir viegli lietojama, un tās ieviešanai nav nepieciešamas lielas tehniskās zināšanas.
• CVE-2023-23397 ievainojamību ir grūti aizsargāt. Lielākajai daļai uz e-pastu balstītu uzbrukumu ir nepieciešams, lai adresāts mijiedarbotos ar e-pastu. Šī ievainojamība ir efektīva bez jebkādas mijiedarbības. Sakarā ar to darbinieku izglītošana par pikšķerēšanas e-pastiem vai liekot viņiem nelejupielādēt e-pasta pielikumus (t.i., tradicionālās metodes, lai izvairītos no ļaunprātīgiem e-pastiem), nav nekādas ietekmes.
• Šajā uzbrukumā netiek izmantota nekāda veida ļaunprātīga programmatūra. Šī iemesla dēļ drošības programmatūra to neuztvers.

Kas notiek ar šīs ievainojamības upuriem?

CVE-2023-23397 ievainojamība ļauj uzbrucējam piekļūt upura kontam. Tāpēc rezultāts ir atkarīgs no tā, kas cietušajam ir pieejams. Uzbrucējs var nozagt datus vai uzsākt ransomware uzbrukumu.

Ja cietušajam ir piekļuve privātiem datiem, uzbrucējs var tos nozagt. Klienta informācijas gadījumā to var pārdot tumšajā tīmeklī. Tas rada problēmas ne tikai klientiem, bet arī uzņēmuma reputācijai.

Uzbrucējs var arī šifrēt privātu vai svarīgu informāciju, izmantojot izspiedējprogrammatūru. Pēc veiksmīga izpirkuma programmatūras uzbrukuma visi dati nav pieejami, ja vien uzņēmums nemaksā uzbrucējam izpirkuma maksu (un pat tad kibernoziedznieki var nolemt neatšifrēt datus).

Kā pārbaudīt, vai jūs ietekmē CVE-2023-23397 ievainojamība

Ja domājat, ka jūsu uzņēmumu jau ir skārusi šī ievainojamība, varat automātiski pārbaudīt savu sistēmu, izmantojot Microsoft PowerShell skriptu. Šis skripts meklē jūsu failus un meklē parametrus, kas tiek izmantoti šajā uzbrukumā. Pēc to atrašanas varat tos izdzēst no savas sistēmas. Skriptam var piekļūt izmantojot Microsoft.

Kā aizsargāties pret šo ievainojamību

Optimālais veids, kā aizsargāties pret šo ievainojamību, ir visas Outlook programmatūras atjaunināšana. Microsoft izlaida ielāpu 2023. gada 14. martā, un pēc instalēšanas visi šī uzbrukuma mēģinājumi būs neefektīvi.

Lai gan programmatūras labošanai ir jābūt visu uzņēmumu prioritātei, ja kāda iemesla dēļ to nevar panākt, ir citi veidi, kā novērst šī uzbrukuma veiksmīgu norisi. Tajos ietilpst:

• Bloķēt TCP 445 izejošo. Šis uzbrukums izmanto portu 445, un, ja caur šo portu nav iespējams sazināties, uzbrukums būs neveiksmīgs. Ja jums ir nepieciešams 445. ports citiem mērķiem, jums jāuzrauga visa šī porta trafika un jābloķē viss, kas tiek nosūtīts uz ārējo IP adresi.
• Pievienojiet visus lietotājus aizsargāto lietotāju drošības grupai. Neviens lietotājs šajā grupā nevar izmantot NTLM kā autentifikācijas metodi. Ir svarīgi ņemt vērā, ka tas var traucēt arī visām lietojumprogrammām, kas balstās uz NTLM.
• Pieprasiet, lai visi lietotāji programmā Outlook atspējo iestatījumu Rādīt atgādinājumus. Tas var neļaut uzbrucējam piekļūt NTLM akreditācijas datiem.
• Pieprasiet visiem lietotājiem atspējot WebClient pakalpojumu. Ir svarīgi ņemt vērā, ka tas novērsīs visus WebDev savienojumus, tostarp iekštīklā, un tāpēc tas ne vienmēr ir piemērots risinājums.

Jums ir jāizlabo CVE-2023-23397 ievainojamība

Ievainojamība CVE-2023-23397 ir nozīmīga programmas Outlook popularitātes un piekļuves apjoma dēļ, ko tā nodrošina uzbrucējam. Veiksmīgs uzbrukums ļauj kiberuzbrucējam piekļūt upura kontam, ko var izmantot datu nozagšanai vai šifrēšanai.

Vienīgais veids, kā pareizi aizsargāties pret šo uzbrukumu, ir atjaunināt Outlook programmatūru ar nepieciešamo ielāpu, ko Microsoft ir padarījis pieejamu. Jebkurš uzņēmums, kas to neizdara, ir hakeriem pievilcīgs mērķis.