Čak vas ni tipična zaštita e-pošte neće zaštititi od ove pametne ranjivosti u Outlooku. Srećom, niste bespomoćni.

Hakeri neprestano traže nove načine za infiltraciju u sigurne mreže. To je težak izazov jer sve odgovorne tvrtke ulažu u sigurnost. Međutim, jedna metoda koja će uvijek biti učinkovita jest korištenje novih ranjivosti u popularnim softverskim proizvodima.

U programu Outlook nedavno je otkrivena ranjivost koja hakerima omogućuje krađu lozinki jednostavnim slanjem e-pošte vlasniku računa. Zakrpa je izdana, ali mnoge tvrtke još nisu ažurirale svoju verziju Outlooka.

Dakle, koja je to ranjivost i kako se tvrtke mogu obraniti od nje?

Što je ranjivost CVE-2023-23397?

Ranjivost CVE-2023-23397 je ranjivost eskalacije privilegija koja utječe na Microsoft Outlook koji radi u sustavu Windows.

Vjeruje se da su ovu ranjivost koristili od travnja do prosinca 2022. akteri nacionalne države protiv širokog spektra industrija. Zakrpa je objavljena u ožujku 2023.

Dok izdavanje zakrpe znači da se organizacije mogu lako obraniti od nje, činjenica da se sada jako reklamira znači da se povećao rizik za tvrtke koje ne postavljaju zakrpe.

instagram viewer

Nije neuobičajeno da se ranjivosti koje su isprva koristile nacionalne države naširoko koriste od strane pojedinačnih hakera i hakerskih skupina nakon što postane poznata njihova dostupnost.

Tko je na meti ranjivosti Microsoft Outlooka?

Ranjivost CVE-2023-23397 učinkovita je samo protiv programa Outlook koji radi u sustavu Windows. Korisnici Androida, Applea i weba nisu pogođeni i ne moraju ažurirati svoj softver.

Privatne osobe vjerojatno neće biti ciljane jer to nije tako isplativo kao ciljanje tvrtke. Međutim, ako privatna osoba koristi Outlook za Windows, ipak bi trebala ažurirati svoj softver.

Tvrtke će vjerojatno biti primarna meta jer mnoge koriste Outlook za Windows kako bi zaštitile svoje važne podatke. Lakoća kojom se napad može izvesti i broj tvrtki koje koriste softver znače da će se ranjivost vjerojatno pokazati popularnom među hakerima.

Kako radi ranjivost?

Ovaj napad koristi e-poštu s određenim svojstvima koja uzrokuju da Microsoft Outlook otkrije žrtvin NTLM hash. NTLM je kratica za New Technology LAN Master i ovaj hash se može koristiti za autentifikaciju na žrtvinom računu.

E-pošta dobiva hash koristeći prošireni MAPI (Microsoft Outlook Messaging Application Programming Interface) svojstvo koje sadrži stazu dijeljenja bloka poruka poslužitelja kojim upravlja napadač.

Kada Outlook primi ovu e-poruku, pokušava se autentificirati na SMB zajedničkom računu koristeći svoj NTLM hash. Haker koji kontrolira SMB dijeljenje tada može pristupiti hash-u.

Zašto je ranjivost Outlooka tako učinkovita?

CVE-2023-23397 je učinkovita ranjivost iz više razloga:

  • Outlook se koristi u raznim tvrtkama. To ga čini privlačnim za hakere.
  • Ranjivost CVE-2023-23397 jednostavna je za korištenje i ne zahtijeva puno tehničkog znanja za implementaciju.
  • Teško se obraniti od ranjivosti CVE-2023-23397. Većina napada temeljenih na e-pošti zahtijeva od primatelja interakciju s e-poštom. Ova je ranjivost učinkovita bez ikakve interakcije. Zbog toga, edukacija zaposlenika o phishing e-porukama ili reći im da ne preuzimaju privitke e-pošte (tj. tradicionalne metode za izbjegavanje zlonamjerne e-pošte) nema učinka.
  • Ovaj napad ne koristi nikakvu vrstu zlonamjernog softvera. Zbog toga ga sigurnosni softver neće otkriti.

Što se događa žrtvama ove ranjivosti?

Ranjivost CVE-2023-23397 omogućuje napadaču pristup žrtvinom računu. Ishod stoga ovisi o tome čemu žrtva ima pristup. Napadač može ukrasti podatke ili pokrenuti ransomware napad.

Ako žrtva ima pristup privatnim podacima, napadač ih može ukrasti. U slučaju podataka o kupcu, može se prodavati na dark webu. To nije samo problem za klijente, već i za ugled tvrtke.

Napadač također može moći šifrirati privatne ili važne informacije pomoću ransomwarea. Nakon uspješnog napada ransomwareom, svi podaci su nedostupni osim ako tvrtka ne plati napadaču otkupninu (a čak i tada, kibernetički kriminalci mogu odlučiti ne dekriptirati podatke).

Kako provjeriti jeste li pogođeni ranjivošću CVE-2023-23397

Ako mislite da je vaša tvrtka možda već pogođena ovom ranjivošću, možete automatski provjeriti svoj sustav pomoću skripte PowerShell tvrtke Microsoft. Ova skripta pretražuje vaše datoteke i traži parametre koji se koriste u ovom napadu. Nakon što ih pronađete, možete ih izbrisati iz svog sustava. Skripti se može pristupiti putem Microsofta.

Kako se zaštititi od ove ranjivosti

Optimalan način zaštite od ove ranjivosti je ažuriranje cijelog Outlook softvera. Microsoft je izdao zakrpu 14. ožujka 2023., a nakon instaliranja svaki pokušaj ovog napada bit će neučinkovit.

Iako bi popravljanje softvera trebalo biti prioritet za sve tvrtke, ako se iz nekog razloga to ne može postići, postoje drugi načini da se spriječi uspjeh ovog napada. Oni uključuju:

  • Blokiraj TCP 445 izlaz. Ovaj napad koristi port 445 i ako nije moguća komunikacija preko tog porta, napad će biti neuspješan. Ako vam je port 445 potreban za druge svrhe, trebali biste nadzirati sav promet preko tog porta i blokirati sve što ide na vanjsku IP adresu.
  • Dodajte sve korisnike u sigurnosnu grupu zaštićenih korisnika. Nijedan korisnik u ovoj grupi ne može koristiti NTLM kao metodu provjere autentičnosti. Važno je napomenuti da ovo također može ometati sve aplikacije koje se oslanjaju na NTLM.
  • Zatražite da svi korisnici onemoguće postavku Prikaži podsjetnike u programu Outlook. To može spriječiti napadača da pristupi NTLM vjerodajnicama.
  • Zatražite da svi korisnici onemoguće uslugu WebClient. Važno je napomenuti da će ovo spriječiti sve WebDev veze uključujući i one preko intraneta i stoga nije nužno prikladna opcija.

Morate napraviti zakrpu protiv CVE-2023-23397 ranjivosti

Ranjivost CVE-2023-23397 značajna je zbog popularnosti Outlooka i količine pristupa koji pruža napadaču. Uspješan napad omogućuje kibernetičkom napadaču pristup žrtvinom računu koji se može koristiti za krađu ili šifriranje podataka.

Jedini način da se ispravno zaštitite od ovog napada je ažuriranje softvera Outlook potrebnom zakrpom koju je Microsoft stavio na raspolaganje. Svaka tvrtka koja to ne učini privlačna je meta hakerima.