Uważaj na krytyczną podatność w Microsoft Outlook
Korzystasz z Microsoft Outlook? Jeśli tak, to koniecznie przeczytaj ten tekst! Microsoft poinformował o krytycznej podatności CVE-2023-23397 w aplikacji Outlook w systemie Windows. Co może się stać, jeśli ktoś ją wykorzysta? Z jej pomocą można zdalnie przejąć hasło domenowe, bez interakcji użytkownika.
- Anna Petynia-Kawa
- /
- 24 marca 2023
Z tej podatności aktywnie korzystała jedna z rosyjskich grup ATP, od kwietnia 2022 roku, także w Polsce. Jeśli w firmie lub organizacji korzystacie z programu pocztowego Microsoft Outlook, warto uważać. Szczegóły podatności są już dostępne i opisane publicznie.
Szczegóły podatności i zagrożenia, które niesie
Podatność, o której piszemy pozwala na proste przechwycenie skrótu NTLMv2 oraz podjęcie próby odzyskania hasła domenowego przez atak siłowy. Jeśli atakujący posiada dostęp do sieci lokalnej ofiary, ma możliwość skorzystania z wymienionego skrótu w celu zalogowania się w innych usługach, bez potrzeby łamania tzw. NTLM relay.
Nigeryjski przekręt — jak to działa?Anna Petynia-Kawa
Haker po ataku na ofiarę musi jedynie wysłać ofierze odpowiednio spreparowaną wiadomość, która ma w sobie wydarzenie w kalendarzu albo zadanie. Nie jest tu potrzebna żadna interakcja użytkownika poczty, a sam atak można przeprowadzić zdalnie.W tym momencie podatne na takie ataki są wszystkie wersje Microsoft Outlook na platformę Windows. Użytkownicy tej aplikacji na platformach Android, iOS czy macOS mogą spać spokojnie. Podobnie, jak użytkownicy usług chmurowych Microsoft 365.
Ataki socjotechniczne — schemat działaniaAnna Petynia-Kawa
Rekomendacje dla użytkowników
Specjaliści CERT rekomendują zablokowanie ruchu wychodzącego po protokole SMB (445/TCP) z organizacji, lub ograniczenie go do zaufanych serwerów. W przypadku, gdy nie możemy tego wdrożyć, powinniśmy codziennie dokładnie monitorować ruch wychodzący SBM zwracając uwagę na odwołania do innych serwerów.
Warto również pamiętać o standardowych, skutecznych działaniach, czyli stosowaniu silnych haseł co utrudnia złamanie skrótu NTLMv2 oraz stosować obowiązkowo uwierzytelnianie dwuskładnikowe, szczególnie w usługach wystawionych do Internetu, np. OWA, gateway VPN.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?