Acest Hack de parolă înseamnă că angajatorul dvs. trebuie să corecteze Microsoft Outlook astăzi

Hackerii caută în mod constant noi modalități de a se infiltra în rețelele securizate. Aceasta este o provocare dificilă, deoarece toate afacerile responsabile investesc în securitate. O metodă care va fi întotdeauna eficientă este utilizarea noilor vulnerabilități în produsele software populare.

O vulnerabilitate a fost descoperită recent în Outlook, care permite hackerilor să fure parole prin simpla trimitere prin e-mail titularului contului. A fost lansat un patch, dar multe companii nu și-au actualizat încă versiunea de Outlook.

Deci, ce este această vulnerabilitate și cum se pot apăra întreprinderile împotriva ei?

Ce este vulnerabilitatea CVE-2023-23397?

Vulnerabilitatea CVE-2023-23397 este o vulnerabilitate de escaladare a privilegiilor care afectează Microsoft Outlook care rulează pe Windows.

Se crede că această vulnerabilitate a fost folosită din aprilie până în decembrie 2022 de către actorii statului național împotriva unei game largi de industrii. Un patch a fost lansat în martie 2023.

În timp ce lansarea unui patch înseamnă că organizațiile se pot apăra cu ușurință împotriva acestuia, faptul că acesta este acum puternic mediatizat înseamnă că riscul pentru afaceri care nu corectează a crescut.

Nu este neobișnuit ca vulnerabilitățile utilizate inițial de statele naționale să fie utilizate pe scară largă de către hackeri individuali și grupuri de hacking odată ce disponibilitatea lor este cunoscută.

Cine este vizat de vulnerabilitatea Microsoft Outlook?

Vulnerabilitatea CVE-2023-23397 este eficientă numai împotriva Outlook care rulează pe Windows. Utilizatorii Android, Apple și web nu sunt afectați și nu trebuie să își actualizeze software-ul.

Este puțin probabil ca persoanele private să fie vizate, deoarece acest lucru nu este la fel de profitabil ca vizarea unei afaceri. Dacă o persoană privată folosește Outlook pentru Windows, totuși, ar trebui să-și actualizeze software-ul.

Este posibil ca întreprinderile să fie ținta principală, deoarece mulți folosesc Outlook pentru Windows pentru a-și proteja datele importante. Ușurința cu care poate fi efectuat atacul și numărul de companii care folosesc software-ul înseamnă că vulnerabilitatea se va dovedi populară în rândul hackerilor.

Cum funcționează vulnerabilitatea?

Acest atac folosește un e-mail cu proprietăți specifice care determină Microsoft Outlook să dezvăluie hash-ul NTLM al victimei. NTLM înseamnă New Technology LAN Master și acest hash poate fi folosit pentru autentificarea în contul victimei.

E-mailul dobândește hash-ul utilizând un MAPI extins (Microsoft Outlook Messaging Application Programming Interfață) care conține calea unei partajări Server Message Block care este controlată de atacator.

Când Outlook primește acest e-mail, încearcă să se autentifice la partajarea SMB folosind hash-ul NTLM. Hackerul care controlează cota SMB poate accesa hash-ul.

De ce este vulnerabilitatea Outlook atât de eficientă?

CVE-2023-23397 este o vulnerabilitate eficientă din mai multe motive:

• Outlook este utilizat de o mare varietate de companii. Acest lucru îl face atractiv pentru hackeri.
• Vulnerabilitatea CVE-2023-23397 este ușor de utilizat și nu necesită multe cunoștințe tehnice pentru a fi implementată.
• Vulnerabilitatea CVE-2023-23397 este greu de apărat. Cele mai multe atacuri bazate pe e-mail necesită ca destinatarul să interacționeze cu e-mailul. Această vulnerabilitate este eficientă fără nicio interacțiune. Din această cauză, educarea angajaților despre e-mailurile de phishing sau să le spui să nu descarce atașamentele de e-mail (adică metodele tradiționale de a evita e-mailurile rău intenționate) nu are niciun efect.
• Acest atac nu folosește niciun tip de malware. Din acest motiv, nu va fi preluat de software-ul de securitate.

Ce se întâmplă cu victimele acestei vulnerabilități?

Vulnerabilitatea CVE-2023-23397 permite unui atacator să obțină acces la contul victimei. Prin urmare, rezultatul depinde de ceea ce are acces victima. Atacatorul poate fura date sau lansează un atac ransomware.

Dacă victima are acces la date private, atacatorul le poate fura. În cazul informațiilor despre clienți, poate fi vândut pe dark web. Acest lucru nu este doar problematic pentru clienți, ci și pentru reputația afacerii.

Atacatorul poate fi, de asemenea, capabil să cripteze informații private sau importante folosind ransomware. După un atac ransomware de succes, toate datele sunt inaccesibile, cu excepția cazului în care compania plătește atacatorului o plată de răscumpărare (și chiar și atunci, infractorii cibernetici pot decide să nu decripteze datele).

Cum să verificați dacă sunteți afectat de vulnerabilitatea CVE-2023-23397

Dacă credeți că afacerea dvs. poate fi deja afectată de această vulnerabilitate, vă puteți verifica automat sistemul folosind un script PowerShell de la Microsoft. Acest script caută fișierele dvs. și caută parametrii utilizați în acest atac. După ce le găsiți, le puteți șterge din sistem. Scriptul poate fi accesat prin Microsoft.

Cum să vă protejați împotriva acestei vulnerabilități

Modul optim de a vă proteja împotriva acestei vulnerabilități este actualizarea tuturor programelor Outlook. Microsoft a lansat un patch pe 14 martie 2023 și, odată instalat, orice încercare de atac va fi ineficientă.

În timp ce corecția software-ului ar trebui să fie o prioritate pentru toate companiile, dacă din anumite motive, acest lucru nu poate fi realizat, există și alte modalități de a preveni succesul acestui atac. Ei includ:

• Blocați TCP 445 de ieșire. Acest atac folosește portul 445 și dacă nu este posibilă nicio comunicare prin acel port, atacul nu va avea succes. Dacă aveți nevoie de portul 445 pentru alte scopuri, ar trebui să monitorizați tot traficul de pe acel port și să blocați tot ceea ce ajunge la o adresă IP externă.
• Adăugați toți utilizatorii la grupul de securitate pentru utilizatori protejați. Orice utilizator din acest grup nu poate folosi NTLM ca metodă de autentificare. Este important de reținut că acest lucru poate interfera și cu orice aplicație care se bazează pe NTLM.
• Solicitați tuturor utilizatorilor să dezactiveze setarea Afișare mementouri în Outlook. Acest lucru poate împiedica accesarea acreditărilor NTLM de către atacator.
• Solicitați ca toți utilizatorii să dezactiveze serviciul WebClient. Este important de reținut că acest lucru va împiedica toate conexiunile WebDev, inclusiv prin intranet și, prin urmare, nu este neapărat o opțiune potrivită.

Trebuie să aplicați corecții împotriva vulnerabilității CVE-2023-23397

Vulnerabilitatea CVE-2023-23397 este semnificativă din cauza popularității Outlook și a volumului de acces pe care îl oferă unui atacator. Un atac de succes permite atacatorului cibernetic să obțină acces la contul victimei, care poate fi folosit pentru a fura sau a cripta datele.

Singura modalitate de a vă proteja corect împotriva acestui atac este să actualizați software-ul Outlook cu patch-ul necesar pe care Microsoft l-a pus la dispoziție. Orice afacere care nu reușește să facă acest lucru este o țintă atractivă pentru hackeri.