Net įprasta el. pašto sauga neapsaugos jūsų nuo šio protingo „Outlook“ pažeidžiamumo. Laimei, jūs nesate bejėgis.

Piratai nuolat ieško naujų būdų, kaip įsiskverbti į saugius tinklus. Tai sunkus iššūkis, nes visi atsakingi verslai investuoja į saugumą. Tačiau vienas iš būdų, kuris visada bus veiksmingas, yra naujų pažeidžiamumų naudojimas populiariuose programinės įrangos produktuose.

Neseniai programoje „Outlook“ buvo aptiktas pažeidžiamumas, leidžiantis įsilaužėliams pavogti slaptažodžius tiesiog išsiuntus el. paštu paskyros savininkui. Pataisa buvo išleista, bet daugelis įmonių dar neatnaujino savo „Outlook“ versijos.

Taigi, kas yra šis pažeidžiamumas ir kaip įmonės gali nuo jos apsiginti?

Kas yra CVE-2023-23397 pažeidžiamumas?

Pažeidžiamumas CVE-2023-23397 yra privilegijų padidinimo pažeidžiamumas, turintis įtakos Microsoft Outlook, veikiančiai sistemoje Windows.

Manoma, kad šiuo pažeidžiamumu nuo 2022 m. balandžio iki gruodžio mėn. nacionalinių valstybių veikėjai naudojosi prieš įvairias pramonės šakas. 2023 m. kovo mėn. buvo išleistas pleistras.

instagram viewer

Nors pataisos išleidimas reiškia, kad organizacijos gali nesunkiai nuo jo apsiginti, tai, kad jis dabar yra labai viešinamas, reiškia, kad rizika verslui, kuris netaiso, padidėjo.

Neretai pažeidžiamumą, kurį iš pradžių naudojo nacionalinės valstybės, plačiai naudoja pavieniai įsilaužėliai ir įsilaužimo grupės, kai sužino apie jų prieinamumą.

Kam taikoma „Microsoft Outlook“ pažeidžiamumas?

Pažeidžiamumas CVE-2023-23397 veikia tik „Outlook“, veikiančią „Windows“. „Android“, „Apple“ ir žiniatinklio naudotojai neturi įtakos ir jiems nereikia atnaujinti programinės įrangos.

Mažai tikėtina, kad privatūs asmenys bus nukreipti, nes tai daryti nėra taip pelninga, kaip nukreipti į verslą. Tačiau jei privatus asmuo naudoja „Outlook for Windows“, jis vis tiek turėtų atnaujinti savo programinę įrangą.

Tikėtina, kad verslas bus pagrindinis tikslas, nes daugelis naudoja „Outlook for Windows“, kad apsaugotų savo svarbius duomenis. Atakos vykdymo paprastumas ir programinę įrangą naudojančių įmonių skaičius reiškia, kad pažeidžiamumas greičiausiai bus populiarus tarp įsilaužėlių.

Kaip veikia pažeidžiamumas?

Ši ataka naudoja el. laišką su konkrečiomis savybėmis, dėl kurių „Microsoft Outlook“ atskleidžia aukos NTLM maišą. NTLM reiškia New Technology LAN Master ir ši maiša gali būti naudojama aukos paskyros autentifikavimui.

Laiškas įgauna maišą naudojant išplėstinį MAPI (Microsoft Outlook Messaging Application Programming Interface) ypatybę, kurioje yra serverio pranešimų bloko bendrinimo kelias, kurį valdo užpuolikas.

Kai programa „Outlook“ gauna šį el. laišką, ji bando autentifikuoti save SMB bendriname naudodama savo NTLM maišą. Tada įsilaužėlis, valdantis SMB dalį, gali pasiekti maišą.

Kodėl „Outlook“ pažeidžiamumas toks veiksmingas?

CVE-2023-23397 yra veiksmingas pažeidžiamumas dėl kelių priežasčių:

  • „Outlook“ naudoja įvairios įmonės. Tai daro jį patraukliu įsilaužėliams.
  • Pažeidžiamumą CVE-2023-23397 lengva naudoti ir jai įdiegti nereikia daug techninių žinių.
  • Nuo CVE-2023-23397 pažeidžiamumo sunku apsisaugoti. Dauguma el. pašto atakų reikalauja, kad gavėjas sąveikautų su el. paštu. Šis pažeidžiamumas yra veiksmingas be jokios sąveikos. Dėl to darbuotojų ugdymas apie sukčiavimo el. laiškus arba liepimas nesiųsti el. laiškų priedų (t. y. tradiciniais metodais, siekiant išvengti kenksmingų el. laiškų) neturi jokios įtakos.
  • Ši ataka nenaudoja jokios kenkėjiškos programos. Dėl šios priežasties saugos programinė įranga jos nepasiims.

Kas atsitiks šio pažeidžiamumo aukoms?

CVE-2023-23397 pažeidžiamumas leidžia užpuolikui gauti prieigą prie aukos paskyros. Todėl rezultatas priklauso nuo to, ką auka turi prieiga. Užpuolikas gali pavogti duomenis arba pradėti ransomware ataką.

Jei auka turi prieigą prie privačių duomenų, užpuolikas gali juos pavogti. Kliento informacijos atveju, jį galima parduoti tamsiajame internete. Tai kelia problemų ne tik klientams, bet ir verslo reputacijai.

Užpuolikas taip pat gali užšifruoti privačią ar svarbią informaciją naudodamas išpirkos reikalaujančią programinę įrangą. Po sėkmingos „ransomware“ atakos visi duomenys yra nepasiekiami, nebent verslas sumoka užpuolikui išpirką (ir net tada kibernetiniai nusikaltėliai gali nuspręsti neiššifruoti duomenų).

Kaip patikrinti, ar jus paveikė CVE-2023-23397 pažeidžiamumas

Jei manote, kad šis pažeidžiamumas jau galėjo paveikti jūsų verslą, galite automatiškai patikrinti savo sistemą naudodami Microsoft PowerShell scenarijų. Šis scenarijus ieško jūsų failų ir ieško parametrų, kurie naudojami šioje atakoje. Radę juos galite ištrinti iš savo sistemos. Scenarijų galima pasiekti per „Microsoft“..

Kaip apsisaugoti nuo šio pažeidžiamumo

Optimalus būdas apsisaugoti nuo šio pažeidžiamumo yra atnaujinti visą „Outlook“ programinę įrangą. 2023 m. kovo 14 d. „Microsoft“ išleido pataisą, o įdiegus bet kokie bandymai surengti šią ataką bus neveiksmingi.

Nors programinės įrangos pataisymas turėtų būti visų įmonių prioritetas, jei dėl kokių nors priežasčių to nepavyksta pasiekti, yra kitų būdų, kaip užkirsti kelią šios atakos sėkmei. Jie įtraukia:

  • Blokuoti išeinantį TCP 445. Ši ataka naudoja 445 prievadą ir jei per tą prievadą neįmanoma susisiekti, ataka bus nesėkminga. Jei jums reikalingas 445 prievadas kitiems tikslams, turėtumėte stebėti visą srautą per tą prievadą ir blokuoti viską, kas eina į išorinį IP adresą.
  • Pridėkite visus vartotojus į apsaugotų vartotojų saugos grupę. Bet kuris šios grupės vartotojas negali naudoti NTLM kaip autentifikavimo metodo. Svarbu pažymėti, kad tai taip pat gali trukdyti bet kurioms programoms, kurios remiasi NTLM.
  • Paprašykite visų vartotojų išjungti parametrą Rodyti priminimus programoje "Outlook". Tai gali užkirsti kelią užpuolikui pasiekti NTLM kredencialus.
  • Paprašykite visų vartotojų išjungti WebClient paslaugą. Svarbu pažymėti, kad tai užkirs kelią visiems WebDev ryšiams, įskaitant intranetą, ir todėl nebūtinai yra tinkama parinktis.

Turite pataisyti, kad išvengtumėte CVE-2023-23397 pažeidžiamumo

Pažeidžiamumas CVE-2023-23397 yra reikšmingas dėl „Outlook“ populiarumo ir prieigos, kurią ji suteikia užpuolikui. Sėkmingas išpuolis leidžia kibernetiniam užpuolikui gauti prieigą prie aukos paskyros, kuri gali būti naudojama duomenims pavogti arba užšifruoti.

Vienintelis būdas tinkamai apsisaugoti nuo šios atakos – atnaujinti „Outlook“ programinę įrangą su reikiama pataisa, kurią „Microsoft“ suteikė. Bet koks verslas, kuris to nepadaro, yra patrauklus įsilaužėlių taikinys.