Този хак за парола означава, че вашият работодател трябва да закърпи Microsoft Outlook днес

Хакерите непрекъснато търсят нови начини за проникване в защитени мрежи. Това е трудно предизвикателство, защото всички отговорни бизнеси инвестират в сигурност. Един метод, който обаче винаги ще бъде ефективен, е използването на нови уязвимости в популярни софтуерни продукти.

Наскоро беше открита уязвимост в Outlook, която позволява на хакерите да крадат пароли, като просто изпратят имейл на притежателя на акаунта. Издадена е корекция, но много фирми все още не са актуализирали своята версия на Outlook.

И така, каква е тази уязвимост и как бизнесът може да се защити от нея?

Какво представлява уязвимостта CVE-2023-23397?

Уязвимостта CVE-2023-23397 е уязвимост при ескалиране на привилегии, която засяга Microsoft Outlook, работещ на Windows.

Смята се, че тази уязвимост е била използвана от април до декември 2022 г. от национални държавни участници срещу голямо разнообразие от индустрии. Пачът беше пуснат през март 2023 г.

Въпреки че пускането на кръпка означава, че организациите могат лесно да се защитят срещу нея, фактът, че сега е силно рекламирана, означава, че рискът за бизнеса, който не кръпка, се е увеличил.

Не е необичайно уязвимостите, използвани първоначално от националните държави, да се използват широко от отделни хакери и хакерски групи, след като тяхната наличност стане известна.

Кой е насочен от уязвимостта на Microsoft Outlook?

Уязвимостта CVE-2023-23397 е ефективна само срещу Outlook, работещ на Windows. Потребителите на Android, Apple и уеб не са засегнати и не е необходимо да актуализират своя софтуер.

Частни лица е малко вероятно да бъдат насочени, защото това не е толкова печелившо, колкото насочването към бизнес. Ако обаче частно лице използва Outlook за Windows, то все пак трябва да актуализира своя софтуер.

Бизнесът вероятно ще бъде основната цел, тъй като много от тях използват Outlook за Windows, за да защитят важните си данни. Лекотата, с която атаката може да бъде извършена, и количеството фирми, които използват софтуера, означават, че уязвимостта вероятно ще се окаже популярна сред хакерите.

Как работи уязвимостта?

Тази атака използва имейл със специфични свойства, които карат Microsoft Outlook да разкрие NTLM хеша на жертвата. NTLM означава New Technology LAN Master и този хеш може да се използва за удостоверяване на акаунта на жертвата.

Имейлът получава хеша чрез използване на разширен MAPI (Програмиране на приложения за съобщения на Microsoft Outlook Interface) свойство, което съдържа пътя на споделяне на сървърно съобщение, което се контролира от нападател.

Когато Outlook получи този имейл, той се опитва да се удостовери в споделянето на SMB, използвайки своя NTLM хеш. След това хакерът, който контролира споделянето на SMB, има достъп до хеша.

Защо уязвимостта на Outlook е толкова ефективна?

CVE-2023-23397 е ефективна уязвимост поради редица причини:

• Outlook се използва от голямо разнообразие от фирми. Това го прави привлекателен за хакерите.
• Уязвимостта CVE-2023-23397 е лесна за използване и не изисква много технически познания за прилагане.
• Уязвимостта CVE-2023-23397 е трудна за защита. Повечето базирани на имейл атаки изискват получателят да взаимодейства с имейла. Тази уязвимост е ефективна без никакво взаимодействие. Поради това обучението на служителите относно фишинг имейли или да им кажете да не изтеглят прикачени файлове към имейли (т.е. традиционните методи за избягване на злонамерени имейли) няма ефект.
• Тази атака не използва никакъв вид зловреден софтуер. Поради това няма да бъде прихванат от софтуера за сигурност.

Какво се случва с жертвите на тази уязвимост?

Уязвимостта CVE-2023-23397 позволява на хакер да получи достъп до акаунта на жертвата. Следователно резултатът зависи от това до какво има достъп жертвата. Нападателят може да открадне данни или стартирайте ransomware атака.

Ако жертвата има достъп до лични данни, нападателят може да ги открадне. В случай на информация за клиента, може да се продава в тъмната мрежа. Това е проблем не само за клиентите, но и за репутацията на бизнеса.

Нападателят може също да е в състояние да шифрова лична или важна информация с помощта на рансъмуер. След успешна ransomware атака, всички данни са недостъпни, освен ако бизнесът не плати на атакуващия плащане на откуп (и дори тогава киберпрестъпниците може да решат да не дешифрират данните).

Как да проверите дали сте засегнати от уязвимостта CVE-2023-23397

Ако смятате, че вашият бизнес може вече да е бил засегнат от тази уязвимост, можете да проверите системата си автоматично с помощта на PowerShell скрипт от Microsoft. Този скрипт претърсва вашите файлове и търси параметри, които се използват в тази атака. След като ги намерите, можете да ги изтриете от вашата система. Скриптът може да бъде достъпен чрез Microsoft.

Как да се предпазим от тази уязвимост

Оптималният начин за защита срещу тази уязвимост е да актуализирате целия софтуер на Outlook. Microsoft пусна корекция на 14 март 2023 г. и веднъж инсталирана, всички опити за тази атака ще бъдат неефективни.

Макар че корекцията на софтуера трябва да бъде приоритет за всички фирми, ако по някаква причина това не може да бъде постигнато, има други начини да предотвратите успеха на тази атака. Те включват:

• Блокиране на изходящ TCP 445. Тази атака използва порт 445 и ако не е възможна комуникация през този порт, атаката ще бъде неуспешна. Ако имате нужда от порт 445 за други цели, трябва да наблюдавате целия трафик през този порт и да блокирате всичко, което отива към външен IP адрес.
• Добавете всички потребители към групата за защита на защитени потребители. Всеки потребител в тази група не може да използва NTLM като метод за удостоверяване. Важно е да се отбележи, че това може също да попречи на всички приложения, които разчитат на NTLM.
• Поискайте всички потребители да деактивират настройката Показване на напомняния в Outlook. Това може да попречи на нападателя да получи достъп до идентификационните данни за NTLM.
• Поискайте всички потребители да деактивират услугата WebClient. Важно е да се отбележи, че това ще предотврати всички WebDev връзки, включително през интранет и следователно не е непременно подходящ вариант.

Трябва да направите корекция срещу уязвимостта CVE-2023-23397

Уязвимостта CVE-2023-23397 е значителна поради популярността на Outlook и размера на достъпа, който предоставя на нападателя. Успешната атака позволява на кибератака да получи достъп до акаунта на жертвата, който може да се използва за кражба или криптиране на данни.

Единственият начин за правилна защита срещу тази атака е да актуализирате софтуера на Outlook с необходимата корекция, която Microsoft предостави. Всеки бизнес, който не го направи, е привлекателна цел за хакерите.