Még a tipikus e-mail-biztonság sem védi meg Önt az Outlook ezen okos sebezhetőségétől. Szerencsére nem vagy tehetetlen.

A hackerek folyamatosan új módokat keresnek a biztonságos hálózatokba való behatolásra. Ez nehéz kihívás, mert minden felelős vállalkozás befektet a biztonságba. Az egyik módszer, amely mindig hatékony lesz, a népszerű szoftvertermékek új sebezhetőségeinek felhasználása.

A közelmúltban egy biztonsági rést fedeztek fel az Outlookban, amely lehetővé teszi a hackerek számára, hogy jelszavakat lopjanak úgy, hogy egyszerűen e-mailt küldenek a fióktulajdonosnak. Kiadtak egy javítást, de sok vállalkozás még nem frissítette az Outlook verzióját.

Tehát mi ez a sebezhetőség, és hogyan védekezhetnek ellene a vállalkozások?

Mi az a CVE-2023-23397 biztonsági rés?

A CVE-2023-23397 biztonsági rés egy, a Windows rendszeren futó Microsoft Outlookot érintő, jogosultság-kiterjesztéssel kapcsolatos biztonsági rés.

Ezt a sebezhetőséget vélhetően 2022 áprilisa és decembere között használták fel a nemzetállami szereplők számos iparág ellen. 2023 márciusában megjelent egy javítás.

instagram viewer

Míg egy javítás kiadása azt jelenti, hogy a szervezetek könnyen védekezhetnek ellene, az a tény, hogy most nagy nyilvánosságot kap, azt jelenti, hogy megnőtt azon vállalkozások kockázata, amelyek nem javítanak.

Nem ritka, hogy a nemzetállamok által kezdetben használt sebezhetőségeket az egyes hackerek és hackercsoportok széles körben használják fel, miután ismertté váltak.

Kit céloz a Microsoft Outlook biztonsági rése?

A CVE-2023-23397 biztonsági rés csak a Windows rendszeren futó Outlookkal szemben hatásos. Az Android, az Apple és a webes felhasználókat ez nem érinti, és nincs szükségük szoftverfrissítésre.

Nem valószínű, hogy magánszemélyeket céloznak meg, mert ez nem olyan jövedelmező, mint egy vállalkozás megcélzása. Ha azonban egy magánszemély használja az Outlook for Windows alkalmazást, akkor is frissítenie kell a szoftverét.

Valószínűleg a vállalkozások lesznek az elsődleges célpontok, mert sokan az Outlook for Windows szolgáltatást használják fontos adataik védelmére. A támadás végrehajtásának egyszerűsége és a szoftvert használó vállalkozások száma azt jelenti, hogy a sérülékenység valószínűleg népszerű lesz a hackerek körében.

Hogyan működik a sebezhetőség?

Ez a támadás egy meghatározott tulajdonságokkal rendelkező e-mailt használ, amelynek hatására a Microsoft Outlook felfedi az áldozat NTLM-kivonatát. Az NTLM a New Technology LAN Master rövidítése, és ez a hash használható az áldozat fiókjának hitelesítésére.

Az e-mail egy kiterjesztett MAPI (Microsoft Outlook Messaging Application Programming) használatával szerzi be a hash-t Interface) tulajdonság, amely a szerver üzenetblokk megosztásának elérési útját tartalmazza, amelyet a támadó.

Amikor az Outlook megkapja ezt az e-mailt, megkísérli hitelesíteni magát az SMB-megosztáson az NTLM-kivonat használatával. Az SMB-megosztást irányító hacker ezután hozzáférhet a hash-hez.

Miért olyan hatékony az Outlook sebezhetősége?

A CVE-2023-23397 számos okból hatékony biztonsági rést jelent:

  • Az Outlookot sokféle vállalkozás használja. Ez vonzóvá teszi a hackerek számára.
  • A CVE-2023-23397 biztonsági rés könnyen használható, és nem igényel sok technikai tudást a megvalósításához.
  • A CVE-2023-23397 biztonsági rést nehéz megvédeni. A legtöbb e-mail alapú támadás megköveteli, hogy a címzett kapcsolatba lépjen az e-maillel. Ez a sérülékenység interakció nélkül is hatékony. Emiatt a dolgozók oktatása az adathalász e-mailekről vagy ha azt mondják nekik, hogy ne töltsenek le e-mail-mellékleteket (vagyis a rosszindulatú e-mailek elkerülésének hagyományos módszerei), nincs hatása.
  • Ez a támadás semmilyen típusú rosszindulatú programot nem használ. Emiatt a biztonsági szoftver nem veszi fel.

Mi történik a sebezhetőség áldozataival?

A CVE-2023-23397 biztonsági rés lehetővé teszi a támadó számára, hogy hozzáférjen az áldozat fiókjához. Az eredmény tehát attól függ, hogy az áldozat mihez férhet hozzá. A támadó adatokat lophat, ill ransomware támadást indítani.

Ha az áldozat hozzáfér személyes adatokhoz, a támadó ellophatja azokat. Ügyfélinformáció esetén el lehet adni a sötét weben. Ez nemcsak az ügyfelek számára jelent problémát, hanem a vállalkozás hírnevét is.

Előfordulhat, hogy a támadó titkosíthat privát vagy fontos információkat zsarolóvírus segítségével. Sikeres zsarolóvírus-támadás után minden adathoz nem lehet hozzáférni, kivéve, ha a vállalkozás váltságdíjat fizet a támadónak (és akkor is előfordulhat, hogy a kiberbűnözők úgy döntenek, hogy nem fejtik vissza az adatokat).

Hogyan ellenőrizhető, hogy érintett-e Önt a CVE-2023-23397 biztonsági rés

Ha úgy gondolja, hogy vállalkozását már érintette ez a biztonsági rés, automatikusan ellenőrizheti rendszerét a Microsoft PowerShell-szkriptjének segítségével. Ez a szkript megkeresi a fájlokat, és megkeresi a támadásban használt paramétereket. Miután megtalálta őket, törölheti őket a rendszerből. A script elérhető a Microsofton keresztül.

Hogyan védekezzünk e sebezhetőség ellen

A biztonsági rés elleni védekezés optimális módja az Outlook összes szoftverének frissítése. A Microsoft 2023. március 14-én kiadott egy javítást, és a telepítés után a támadásra tett kísérletek hatástalanok lesznek.

Bár a szoftverfoltozásnak minden vállalkozás számára prioritást kell élveznie, ha valamilyen oknál fogva ez nem érhető el, más módszerek is vannak a támadás sikerének megakadályozására. Tartalmazzák:

  • TCP 445 kimenő blokkolása. Ez a támadás a 445-ös portot használja, és ha ezen a porton keresztül nem lehetséges a kommunikáció, a támadás sikertelen lesz. Ha más célokra is szüksége van a 445-ös portra, akkor figyelnie kell a porton keresztüli összes forgalmat, és blokkolnia kell mindent, ami külső IP-címre megy.
  • Adja hozzá az összes felhasználót a Védett felhasználói biztonsági csoporthoz. Ebben a csoportban egyetlen felhasználó sem használhatja az NTLM-t hitelesítési módszerként. Fontos megjegyezni, hogy ez zavarhat minden olyan alkalmazást, amely NTLM-re támaszkodik.
  • Kérje meg az összes felhasználót, hogy tiltsa le az emlékeztetők megjelenítése beállítást az Outlook programban. Ez megakadályozhatja, hogy a támadó hozzáférjen az NTLM hitelesítő adatokhoz.
  • Kérje meg az összes felhasználót, hogy tiltsa le a WebClient szolgáltatást. Fontos megjegyezni, hogy ez megakadályozza az összes WebDev-kapcsolatot, beleértve az intraneten keresztüli kapcsolatot is, ezért nem feltétlenül megfelelő lehetőség.

Javítania kell a CVE-2023-23397 biztonsági rés ellen

A CVE-2023-23397 biztonsági rés az Outlook népszerűsége és a támadók számára biztosított hozzáférési mennyisége miatt jelentős. A sikeres támadás lehetővé teszi a kibertámadó számára, hogy hozzáférjen az áldozat fiókjához, amely felhasználható adatok ellopására vagy titkosítására.

A támadás elleni megfelelő védekezés egyetlen módja az Outlook szoftver frissítése a Microsoft által elérhetővé tett szükséges javítással. Bármely vállalkozás, amely ezt nem teszi meg, vonzó célpont a hackerek számára.