Tämä salasanahakkerointi tarkoittaa, että työnantajasi on korjattava Microsoft Outlook tänään

Hakkerit etsivät jatkuvasti uusia tapoja tunkeutua suojattuihin verkkoihin. Tämä on vaikea haaste, koska kaikki vastuulliset yritykset investoivat turvallisuuteen. Yksi tapa, joka on aina tehokas, on kuitenkin uusien haavoittuvuuksien käyttö suosittuihin ohjelmistotuotteisiin.

Outlookista löydettiin äskettäin haavoittuvuus, jonka avulla hakkerit voivat varastaa salasanoja yksinkertaisesti lähettämällä sähköpostia tilinhaltijalle. Korjaus on julkaistu, mutta monet yritykset eivät ole vielä päivittäneet Outlook-versiotaan.

Mikä tämä haavoittuvuus sitten on, ja miten yritykset voivat puolustautua sitä vastaan?

Mikä on CVE-2023-23397-haavoittuvuus?

CVE-2023-23397-haavoittuvuus on käyttöoikeuksien eskalaatiohaavoittuvuus, joka vaikuttaa Windowsissa toimivaan Microsoft Outlookiin.

Kansallisvaltioiden toimijat uskotaan käyttäneen tätä haavoittuvuutta huhtikuusta joulukuuhun 2022 monenlaisia ​​toimialoja vastaan. Korjaustiedosto julkaistiin maaliskuussa 2023.

Vaikka päivityksen julkaiseminen tarkoittaa, että organisaatiot voivat helposti puolustautua sitä vastaan, se, että se on nyt kovassa julkisuudessa, tarkoittaa, että riski yrityksille, jotka eivät korjaa korjauksia, on kasvanut.

Ei ole harvinaista, että yksittäiset hakkerit ja hakkerointiryhmät käyttävät kansallisvaltioiden aluksi käyttämiä haavoittuvuuksia laajalti, kun niiden saatavuus on tiedossa.

Kenelle Microsoft Outlookin haavoittuvuus kohdistuu?

CVE-2023-23397-haavoittuvuus koskee vain Windowsissa toimivaa Outlookia. Tämä ei vaikuta Android-, Apple- ja verkkokäyttäjiin, eikä heidän tarvitse päivittää ohjelmistoaan.

Yksityishenkilöt eivät todennäköisesti joudu kohteena, koska se ei ole yhtä kannattavaa kuin yrityksen kohdistaminen. Jos yksityinen henkilö käyttää Outlook for Windows -sovellusta, hänen tulee kuitenkin päivittää ohjelmistonsa.

Yritykset ovat todennäköisesti ensisijainen kohde, koska monet käyttävät Outlook for Windowsia tärkeiden tietojensa suojaamiseen. Hyökkäyksen toteuttamisen helppous ja ohjelmistoa käyttävien yritysten määrä tarkoittavat, että haavoittuvuus on todennäköisesti suosittu hakkereiden keskuudessa.

Miten haavoittuvuus toimii?

Tämä hyökkäys käyttää sähköpostiviestiä, jolla on tietyt ominaisuudet, mikä saa Microsoft Outlookin paljastamaan uhrin NTLM-tiivisteen. NTLM on lyhenne sanoista New Technology LAN Master, ja tätä tiivistettä voidaan käyttää uhrin tilin todentamiseen.

Sähköposti hakee tiivisteen käyttämällä laajennettua MAPI-sovellusta (Microsoft Outlook Messaging Application Programming Interface) -ominaisuus, joka sisältää palvelinviestilohko-osuuden polun, jota hallitsee hyökkääjä.

Kun Outlook vastaanottaa tämän sähköpostin, se yrittää todentaa itsensä SMB-jakoon käyttämällä NTLM-tiivistettä. SMB-osuutta hallitseva hakkeri pääsee sitten käsiksi hashiin.

Miksi Outlook-haavoittuvuus on niin tehokas?

CVE-2023-23397 on tehokas haavoittuvuus useista syistä:

• Outlookia käyttävät monet yritykset. Tämä tekee siitä houkuttelevan hakkereille.
• CVE-2023-23397-haavoittuvuus on helppokäyttöinen, eikä sen käyttöönotto vaadi paljon teknistä tietämystä.
• CVE-2023-23397-haavoittuvuutta vastaan ​​on vaikea puolustautua. Useimmat sähköpostiin perustuvat hyökkäykset edellyttävät vastaanottajan olevan vuorovaikutuksessa sähköpostin kanssa. Tämä haavoittuvuus on tehokas ilman vuorovaikutusta. Tämän vuoksi työntekijöiden kouluttaminen tietojenkalasteluviesteistä tai käskyllä ​​olla lataamatta sähköpostin liitteitä (eli perinteisillä menetelmillä haitallisten sähköpostien välttämiseksi) ei ole vaikutusta.
• Tämä hyökkäys ei käytä minkäänlaisia ​​haittaohjelmia. Tämän vuoksi tietoturvaohjelmisto ei poimi sitä.

Mitä tämän haavoittuvuuden uhreille tapahtuu?

CVE-2023-23397-haavoittuvuus mahdollistaa hyökkääjän pääsyn uhrin tilille. Lopputulos riippuu siis siitä, mitä uhrilla on pääsy. Hyökkääjä voi varastaa tietoja tai käynnistää kiristysohjelmahyökkäys.

Jos uhrilla on pääsy yksityisiin tietoihin, hyökkääjä voi varastaa ne. Asiakastietojen tapauksessa sitä voidaan myydä pimeässä verkossa. Tämä ei ole ongelma vain asiakkaille vaan myös yrityksen maineelle.

Hyökkääjä saattaa myös pystyä salaamaan yksityisiä tai tärkeitä tietoja lunnasohjelmien avulla. Onnistuneen kiristysohjelmahyökkäyksen jälkeen kaikki tiedot eivät ole käytettävissä, ellei yritys maksa hyökkääjälle lunnaita (ja silloinkin kyberrikolliset voivat päättää olla purkamatta tietojen salausta).

Kuinka tarkistaa, vaikuttaako CVE-2023-23397-haavoittuvuus sinuun

Jos epäilet, että tämä haavoittuvuus on jo saattanut vaikuttaa yritykseesi, voit tarkistaa järjestelmäsi automaattisesti käyttämällä Microsoftin PowerShell-komentosarjaa. Tämä komentosarja etsii tiedostojasi ja etsii parametreja, joita käytetään tässä hyökkäyksessä. Kun olet löytänyt ne, voit poistaa ne järjestelmästäsi. Skriptiin pääsee käsiksi Microsoftin kautta.

Kuinka suojautua tältä haavoittuvuudella

Paras tapa suojautua tätä haavoittuvuutta vastaan ​​on päivittää kaikki Outlook-ohjelmistot. Microsoft julkaisi korjaustiedoston 14. maaliskuuta 2023, ja kun se on asennettu, kaikki tämän hyökkäyksen yritykset ovat tehottomia.

Ohjelmistojen korjaamisen pitäisi olla kaikkien yritysten prioriteetti, mutta jos tätä ei jostain syystä voida saavuttaa, on olemassa muita tapoja estää tämän hyökkäyksen onnistuminen. Ne sisältävät:

• Estä TCP 445 lähtevä. Tämä hyökkäys käyttää porttia 445, ja jos viestintä ei ole mahdollista tämän portin kautta, hyökkäys epäonnistuu. Jos tarvitset porttia 445 muihin tarkoituksiin, sinun tulee valvoa kaikkea portin kautta kulkevaa liikennettä ja estää kaikki, mikä menee ulkoiseen IP-osoitteeseen.
• Lisää kaikki käyttäjät Protected User Security Groupiin. Kukaan tämän ryhmän käyttäjä ei voi käyttää NTLM: ää todennusmenetelmänä. On tärkeää huomata, että tämä voi myös häiritä kaikkia NTLM: ään tukevia sovelluksia.
• Pyydä kaikkia käyttäjiä poistamaan Näytä muistutukset -asetuksen käytöstä Outlookissa. Tämä saattaa estää hyökkääjää pääsemästä NTLM-tunnistetietoihin.
• Pyydä kaikkia käyttäjiä poistamaan WebClient-palvelun käytöstä. On tärkeää huomata, että tämä estää kaikki WebDev-yhteydet, mukaan lukien intranet-yhteydet, eikä se siksi välttämättä ole sopiva vaihtoehto.

Sinun on korjattava CVE-2023-23397-haavoittuvuus

CVE-2023-23397-haavoittuvuus on merkittävä Outlookin suosion ja sen hyökkääjälle tarjoamien käyttöoikeuksien määrän vuoksi. Onnistunut hyökkäys mahdollistaa kyberhyökkääjän pääsyn uhrin tilille, jota voidaan käyttää tietojen varastamiseen tai salaamiseen.

Ainoa tapa suojautua kunnolla tätä hyökkäystä vastaan ​​on päivittää Outlook-ohjelmisto tarvittavalla korjaustiedostolla, jonka Microsoft on antanut saataville. Jokainen yritys, joka ei tee niin, on houkutteleva kohde hakkereille.