Uważaj na krytyczną podatność w Microsoft Outlook

Korzystasz z Microsoft Outlook? Jeśli tak, to koniecznie przeczytaj ten tekst! Microsoft poinformował o krytycznej podatności CVE-2023-23397 w aplikacji Outlook w systemie Windows. Co może się stać, jeśli ktoś ją wykorzysta? Z jej pomocą można zdalnie przejąć hasło domenowe, bez interakcji użytkownika.

  • Anna Petynia-Kawa
  • /
  • 24 marca 2023

Z tej podatności aktywnie korzystała jedna z rosyjskich grup ATP, od kwietnia 2022 roku, także w Polsce. Jeśli w firmie lub organizacji korzystacie z programu pocztowego Microsoft Outlook, warto uważać. Szczegóły podatności są już dostępne i opisane publicznie. 

Szczegóły podatności i zagrożenia, które niesie

Podatność, o której piszemy pozwala na proste przechwycenie skrótu NTLMv2 oraz podjęcie próby odzyskania hasła domenowego przez atak siłowy. Jeśli atakujący posiada dostęp do sieci lokalnej ofiary, ma możliwość skorzystania z wymienionego skrótu w celu zalogowania się w innych usługach, bez potrzeby łamania tzw. NTLM relay. 

Nigeryjski przekręt — jak to działa?Nigeryjski przekręt — jak to działa?Anna Petynia-Kawa

Haker po ataku na ofiarę musi jedynie wysłać ofierze odpowiednio spreparowaną wiadomość, która ma w sobie wydarzenie w kalendarzu albo zadanie. Nie jest tu potrzebna żadna interakcja użytkownika poczty, a sam atak można przeprowadzić zdalnie.

W tym momencie podatne na takie ataki są wszystkie wersje Microsoft Outlook na platformę Windows. Użytkownicy tej aplikacji na platformach Android, iOS czy macOS mogą spać spokojnie. Podobnie, jak użytkownicy usług chmurowych Microsoft 365.

Ataki socjotechniczne — schemat działaniaAtaki socjotechniczne — schemat działaniaAnna Petynia-Kawa

Rekomendacje dla użytkowników 

Specjaliści CERT rekomendują zablokowanie ruchu wychodzącego po protokole SMB (445/TCP) z organizacji, lub ograniczenie go do zaufanych serwerów. W przypadku, gdy nie możemy tego wdrożyć, powinniśmy codziennie dokładnie monitorować ruch wychodzący SBM zwracając uwagę na odwołania do innych serwerów. 

Warto również pamiętać o standardowych, skutecznych działaniach, czyli stosowaniu silnych haseł co utrudnia złamanie skrótu NTLMv2 oraz stosować obowiązkowo uwierzytelnianie dwuskładnikowe, szczególnie w usługach wystawionych do Internetu, np. OWA, gateway VPN.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!