Даже обычная защита электронной почты не защитит вас от этой умной уязвимости в Outlook. К счастью, вы не беспомощны.

Хакеры постоянно ищут новые способы проникновения в защищенные сети. Это сложная задача, потому что все ответственные предприятия инвестируют в безопасность. Однако одним из методов, который всегда будет эффективным, является использование новых уязвимостей в популярных программных продуктах.

Недавно в Outlook была обнаружена уязвимость, которая позволяет хакерам красть пароли, просто отправляя электронное письмо владельцу учетной записи. Исправление было выпущено, но многие компании еще не обновили свою версию Outlook.

Так что же это за уязвимость и как компании могут от нее защититься?

Что такое уязвимость CVE-2023-23397?

Уязвимость CVE-2023-23397 представляет собой уязвимость повышения привилегий, которая затрагивает Microsoft Outlook, работающий в Windows.

Считается, что эта уязвимость использовалась с апреля по декабрь 2022 года национальными государственными субъектами против самых разных отраслей. Патч был выпущен в марте 2023 года.

instagram viewer

Хотя выпуск исправления означает, что организации могут легко защититься от него, тот факт, что оно сейчас широко освещается, означает, что риск для бизнеса, который не устанавливает исправление, увеличился.

Нередки случаи, когда уязвимости, изначально используемые национальными государствами, широко используются отдельными хакерами и хакерскими группами, как только становится известно о их наличии.

На кого нацелена уязвимость Microsoft Outlook?

Уязвимость CVE-2023-23397 эффективна только для Outlook, работающего в Windows. Android, Apple и веб-пользователи не затронуты, и им не нужно обновлять свое программное обеспечение.

Частные лица вряд ли станут мишенью, потому что это не так выгодно, как нацеливание на бизнес. Однако если частное лицо использует Outlook для Windows, ему все равно следует обновить свое программное обеспечение.

Предприятия, вероятно, будут основной целью, поскольку многие используют Outlook для Windows для защиты своих важных данных. Легкость, с которой может быть осуществлена ​​атака, и количество компаний, использующих программное обеспечение, означают, что уязвимость, вероятно, окажется популярной среди хакеров.

Как работает уязвимость?

Эта атака использует электронную почту с определенными свойствами, которые заставляют Microsoft Outlook раскрывать хэш NTLM жертвы. NTLM расшифровывается как New Technology LAN Master, и этот хэш можно использовать для аутентификации учетной записи жертвы.

Электронная почта получает хэш с помощью расширенного MAPI (программирование приложения для обмена сообщениями Microsoft Outlook). Interface), которое содержит путь к общему ресурсу Server Message Block, который контролируется злоумышленник.

Когда Outlook получает это электронное письмо, он пытается аутентифицировать себя в общем ресурсе SMB, используя свой хэш NTLM. Затем хакер, контролирующий общий ресурс SMB, может получить доступ к хешу.

Почему уязвимость Outlook так эффективна?

CVE-2023-23397 является эффективной уязвимостью по ряду причин:

  • Outlook используется в самых разных компаниях. Это делает его привлекательным для хакеров.
  • Уязвимость CVE-2023-23397 проста в использовании и не требует больших технических знаний для реализации.
  • От уязвимости CVE-2023-23397 сложно защититься. Большинство атак на основе электронной почты требуют, чтобы получатель взаимодействовал с электронной почтой. Эта уязвимость эффективна без какого-либо взаимодействия. В связи с этим обучение сотрудников о фишинговых письмах или указание им не загружать вложения электронной почты (т. Е. Традиционные методы предотвращения вредоносных электронных писем) не имеет никакого эффекта.
  • В этой атаке не используются какие-либо вредоносные программы. Из-за этого он не будет обнаружен программным обеспечением безопасности.

Что происходит с жертвами этой уязвимости?

Уязвимость CVE-2023-23397 позволяет злоумышленнику получить доступ к учетной записи жертвы. Таким образом, результат зависит от того, к чему имеет доступ жертва. Злоумышленник может украсть данные или начать атаку программ-вымогателей.

Если у жертвы есть доступ к личным данным, злоумышленник может их украсть. В случае информации о клиенте, это может быть продано в даркнете. Это не только проблематично для клиентов, но и для репутации бизнеса.

Злоумышленник также может зашифровать личную или важную информацию с помощью программ-вымогателей. После успешной атаки программы-вымогателя все данные становятся недоступными, если бизнес не заплатит злоумышленнику выкуп (и даже в этом случае киберпреступники могут решить не расшифровывать данные).

Как проверить, подвержены ли вы уязвимости CVE-2023-23397

Если вы считаете, что эта уязвимость уже затронула ваш бизнес, вы можете автоматически проверить свою систему с помощью скрипта PowerShell от Microsoft. Этот скрипт ищет ваши файлы и ищет параметры, которые используются в этой атаке. Найдя их, вы можете удалить их из своей системы. Скрипт доступен через Майкрософт.

Как защититься от этой уязвимости

Оптимальный способ защиты от этой уязвимости — обновить все программное обеспечение Outlook. Microsoft выпустила патч 14 марта 2023 года, и после его установки любые попытки этой атаки будут неэффективны.

Хотя исправление программного обеспечения должно быть приоритетом для всех предприятий, если по какой-либо причине это невозможно, существуют другие способы предотвратить успешную атаку. Они включают:

  • Заблокировать исходящий TCP 445. Эта атака использует порт 445, и если связь через этот порт невозможна, атака будет неудачной. Если вам нужен порт 445 для других целей, вы должны отслеживать весь трафик через этот порт и блокировать все, что идет на внешний IP-адрес.
  • Добавьте всех пользователей в группу безопасности защищенных пользователей. Любой пользователь в этой группе не может использовать NTLM в качестве метода проверки подлинности. Важно отметить, что это также может помешать работе любых приложений, использующих NTLM.
  • Попросите всех пользователей отключить параметр «Показывать напоминания» в Outlook. Это может помешать злоумышленнику получить доступ к учетным данным NTLM.
  • Запросите, чтобы все пользователи отключили службу WebClient. Важно отметить, что это предотвратит все подключения WebDev, в том числе через интрасеть, и поэтому не обязательно является подходящим вариантом.

Вам нужно исправить уязвимость CVE-2023-23397

Уязвимость CVE-2023-23397 имеет большое значение из-за популярности Outlook и объема доступа, который он предоставляет злоумышленнику. Успешная атака позволяет злоумышленнику получить доступ к учетной записи жертвы, которую можно использовать для кражи или шифрования данных.

Единственный способ должным образом защититься от этой атаки — обновить программное обеспечение Outlook с помощью необходимого исправления, которое Microsoft сделала доступным. Любой бизнес, который этого не делает, является привлекательной мишенью для хакеров.