Ta vdor v geslo pomeni, da mora vaš delodajalec še danes popraviti Microsoft Outlook

Hekerji nenehno iščejo nove načine za vdor v varna omrežja. To je težak izziv, saj vsa odgovorna podjetja vlagajo v varnost. Ena od metod, ki bo vedno učinkovita, pa je uporaba novih ranljivosti v priljubljenih programskih izdelkih.

V Outlooku so pred kratkim odkrili ranljivost, ki hekerjem omogoča krajo gesel tako, da preprosto pošljejo e-pošto imetniku računa. Izdan je bil popravek, vendar veliko podjetij še ni posodobilo svoje različice Outlooka.

Kaj je torej ta ranljivost in kako se lahko podjetja pred njo ubranijo?

Kaj je ranljivost CVE-2023-23397?

Ranljivost CVE-2023-23397 je ranljivost stopnjevanja privilegijev, ki vpliva na Microsoft Outlook, ki se izvaja v sistemu Windows.

Domneva se, da so to ranljivost od aprila do decembra 2022 uporabljali akterji nacionalne države proti najrazličnejšim industrijam. Marca 2023 je bil izdan popravek.

Medtem ko izdaja popravka pomeni, da se lahko organizacije zlahka ubranijo pred njim, dejstvo, da se zdaj močno oglašuje, pomeni, da se je tveganje za podjetja, ki popravkov ne izvajajo, povečalo.

Ni nenavadno, da ranljivosti, ki so jih sprva uporabljale nacionalne države, na široko uporabljajo posamezni hekerji in hekerske skupine, ko je njihova razpoložljivost znana.

Komu je namenjena ranljivost Microsoft Outlook?

Ranljivost CVE-2023-23397 je učinkovita samo proti Outlooku, ki se izvaja v sistemu Windows. Na uporabnike Android, Apple in spleta to ne vpliva in jim ni treba posodabljati svoje programske opreme.

Malo verjetno je, da bodo tarče posamezniki, ker to ni tako dobičkonosno kot ciljanje na podjetja. Če pa Outlook za Windows uporablja fizična oseba, mora vseeno posodobiti svojo programsko opremo.

Podjetja bodo verjetno primarna tarča, saj mnogi uporabljajo Outlook za Windows za zaščito svojih pomembnih podatkov. Enostavnost, s katero je mogoče izvesti napad, in število podjetij, ki uporabljajo programsko opremo, pomenita, da se bo ranljivost verjetno izkazala za priljubljeno pri hekerjih.

Kako deluje ranljivost?

Ta napad uporablja e-poštno sporočilo s posebnimi lastnostmi, ki povzroči, da Microsoft Outlook razkrije zgoščeno vrednost NTLM žrtve. NTLM pomeni New Technology LAN Master in to zgoščeno vrednost je mogoče uporabiti za preverjanje pristnosti v računu žrtve.

E-pošta pridobi zgoščeno vrednost z uporabo razširjenega MAPI (Microsoft Outlook Messaging Application Programming Interface), ki vsebuje pot skupne rabe bloka sporočil strežnika, ki jo nadzoruje napadalec.

Ko Outlook prejme to e-poštno sporočilo, se poskuša avtentikirati v skupni rabi SMB z uporabo zgoščene vrednosti NTLM. Heker, ki nadzoruje delež SMB, lahko nato dostopa do zgoščene vrednosti.

Zakaj je Outlookova ranljivost tako učinkovita?

CVE-2023-23397 je učinkovita ranljivost iz več razlogov:

• Outlook uporablja veliko različnih podjetij. Zaradi tega je privlačen za hekerje.
• Ranljivost CVE-2023-23397 je enostavna za uporabo in ne zahteva veliko tehničnega znanja za implementacijo.
• Pred ranljivostjo CVE-2023-23397 se je težko ubraniti. Večina napadov, ki temeljijo na e-pošti, od prejemnika zahteva interakcijo z e-pošto. Ta ranljivost je učinkovita brez kakršne koli interakcije. Zaradi tega izobraževanje zaposlenih o lažnih e-poštnih sporočilih ali če jim rečete, naj ne prenašajo e-poštnih prilog (tj. tradicionalne metode za izogibanje zlonamerni e-pošti), nima učinka.
• Ta napad ne uporablja nobene vrste zlonamerne programske opreme. Zaradi tega ga varnostna programska oprema ne bo zaznala.

Kaj se zgodi žrtvam te ranljivosti?

Ranljivost CVE-2023-23397 omogoča napadalcu dostop do žrtvinega računa. Izid je torej odvisen od tega, do česa ima žrtev dostop. Napadalec lahko ukrade podatke oz sprožite napad z izsiljevalsko programsko opremo.

Če ima žrtev dostop do zasebnih podatkov, jih lahko napadalec ukrade. V primeru podatkov o strankah, lahko se prodaja na temnem spletu. To ni problematično le za stranke, ampak tudi za ugled podjetja.

Napadalec lahko tudi šifrira zasebne ali pomembne informacije z uporabo izsiljevalske programske opreme. Po uspešnem napadu z izsiljevalsko programsko opremo so vsi podatki nedostopni, razen če podjetje napadalcu plača odkupnino (in tudi takrat se lahko kibernetski kriminalci odločijo, da podatkov ne bodo dešifrirali).

Kako preveriti, ali ste prizadeti zaradi ranljivosti CVE-2023-23397

Če menite, da je ta ranljivost morda že prizadela vaše podjetje, lahko samodejno preverite svoj sistem z Microsoftovim skriptom PowerShell. Ta skript išče vaše datoteke in išče parametre, ki se uporabljajo v tem napadu. Ko jih najdete, jih lahko izbrišete iz svojega sistema. Do skripte je mogoče dostopati prek Microsofta.

Kako se zaščititi pred to ranljivostjo

Najboljši način za zaščito pred to ranljivostjo je posodobitev celotne programske opreme Outlook. Microsoft je 14. marca 2023 izdal popravek in po namestitvi bodo vsi poskusi tega napada neučinkoviti.

Medtem ko bi moralo biti popravilo programske opreme prednostna naloga za vsa podjetja, če tega iz nekega razloga ni mogoče doseči, obstajajo drugi načini za preprečevanje tega napada, da bi bil uspešen. Vključujejo:

• Blokiraj odhodni TCP 445. Ta napad uporablja vrata 445 in če komunikacija prek teh vrat ni mogoča, bo napad neuspešen. Če potrebujete vrata 445 za druge namene, morate nadzorovati ves promet prek teh vrat in blokirati vse, kar gre na zunanji naslov IP.
• Dodajte vse uporabnike v varnostno skupino zaščitenih uporabnikov. Noben uporabnik v tej skupini ne more uporabljati NTLM kot metode preverjanja pristnosti. Pomembno je vedeti, da lahko to tudi moti vse aplikacije, ki se zanašajo na NTLM.
• Zahtevajte, da vsi uporabniki onemogočijo nastavitev Pokaži opomnike v Outlooku. To lahko napadalcu prepreči dostop do poverilnic NTLM.
• Zahtevajte, da vsi uporabniki onemogočijo storitev WebClient. Pomembno je vedeti, da bo to preprečilo vse povezave WebDev, vključno prek intraneta, in zato ni nujno primerna možnost.

Potrebujete popravek proti ranljivosti CVE-2023-23397

Ranljivost CVE-2023-23397 je pomembna zaradi priljubljenosti Outlooka in količine dostopa, ki ga omogoča napadalcu. Uspešen napad kibernetskemu napadalcu omogoča dostop do žrtvinega računa, ki ga je mogoče uporabiti za krajo ali šifriranje podatkov.

Edini način za ustrezno zaščito pred tem napadom je posodobitev programske opreme Outlook s potrebnim popravkom, ki ga je dal na voljo Microsoft. Vsako podjetje, ki tega ne stori, je privlačna tarča za hekerje.