Isegi tavaline e-posti turvalisus ei kaitse teid Outlooki nutika haavatavuse eest. Õnneks pole sa abitu.
Häkkerid otsivad pidevalt uusi viise turvalistesse võrkudesse tungimiseks. See on raske väljakutse, sest kõik vastutustundlikud ettevõtted investeerivad turvalisusesse. Üks meetod, mis on alati tõhus, on aga populaarsete tarkvaratoodete uute haavatavuste kasutamine.
Hiljuti avastati Outlookis haavatavus, mis võimaldab häkkeritel paroole varastada, saates lihtsalt konto omanikule meili. Plaaster on välja antud, kuid paljud ettevõtted pole veel oma Outlooki versiooni värskendanud.
Mis see haavatavus siis on ja kuidas saavad ettevõtted selle eest kaitsta?
Mis on haavatavus CVE-2023-23397?
Haavatavus CVE-2023-23397 on õiguste eskalatsiooni haavatavus, mis mõjutab Windowsis töötavat Microsoft Outlooki.
Arvatakse, et rahvusriikide osalejad kasutasid seda haavatavust 2022. aasta aprillist detsembrini mitmesuguste tööstusharude vastu. Plaaster ilmus märtsis 2023.
Kui plaastri väljaandmine tähendab, et organisatsioonid saavad selle vastu kergesti kaitsta, siis tõsiasi, et see on nüüd laialdaselt avalikustatud, tähendab, et risk ettevõtetele, kes plaastreid ei tee, on suurenenud.
Pole harvad juhud, kui rahvusriikides kasutatud turvaauke hakkavad laialdaselt kasutama üksikud häkkerid ja häkkimisrühmad, kui nende kättesaadavus on teada.
Kellele Microsoft Outlooki haavatavus sihib?
Haavatavus CVE-2023-23397 on efektiivne ainult Windowsis töötava Outlooki puhul. Androidi, Apple'i ja veebikasutajaid see ei mõjuta ja nad ei pea oma tarkvara värskendama.
Tõenäoliselt ei võeta eraisikuid sihikule, sest see pole nii tulus kui ettevõtte sihtimine. Kui eraisik kasutab Outlook for Windowsi, peaks ta siiski oma tarkvara värskendama.
Tõenäoliselt on peamised sihtmärgid ettevõtted, kuna paljud kasutavad oma oluliste andmete kaitsmiseks Outlook for Windowsi. Rünnaku läbiviimise lihtsus ja tarkvara kasutavate ettevõtete arv tähendab, et haavatavus osutub häkkerite seas tõenäoliselt populaarseks.
Kuidas haavatavus töötab?
See rünnak kasutab spetsiifiliste omadustega meili, mille tõttu Microsoft Outlook paljastab ohvri NTLM-räsi. NTLM tähistab New Technology LAN Masterit ja seda räsi saab kasutada ohvri konto autentimiseks.
E-kiri hangib räsi, kasutades laiendatud MAPI-d (Microsoft Outlook Messaging Application Programming Interface) atribuut, mis sisaldab serveri sõnumiploki ühiskasutuse teed, mida juhib ründaja.
Kui Outlook selle meili saab, proovib see NTLM-räsi abil end SMB-jagamisel autentida. Häkker, kes kontrollib SMB aktsiat, pääseb seejärel räsi juurde.
Miks on Outlooki haavatavus nii tõhus?
CVE-2023-23397 on tõhus haavatavus mitmel põhjusel.
- Outlooki kasutavad väga erinevad ettevõtted. See muudab selle häkkerite jaoks atraktiivseks.
- Turvaauku CVE-2023-23397 on lihtne kasutada ja selle rakendamine ei nõua palju tehnilisi teadmisi.
- Turvaauku CVE-2023-23397 vastu on raske kaitsta. Enamik meilipõhiseid rünnakuid nõuab, et adressaat meiliga suhtleks. See haavatavus on tõhus ilma igasuguse suhtluseta. Selle tõttu töötajate koolitamine andmepüügimeilide kohta või käsk mitte alla laadida meilimanuseid (st traditsioonilised meetodid pahatahtlike meilide vältimiseks) ei mõjuta.
- See rünnak ei kasuta ühtegi tüüpi pahavara. Seetõttu ei võta turvatarkvara seda üles.
Mis juhtub selle haavatavuse ohvritega?
Haavatavus CVE-2023-23397 võimaldab ründajal pääseda ligi ohvri kontole. Tulemus sõltub seega sellest, millele ohvril on juurdepääs. Ründaja võib varastada andmeid või käivitada lunavararünnak.
Kui ohvril on juurdepääs isiklikele andmetele, võib ründaja need varastada. Kliendiinfo puhul seda saab müüa pimedas veebis. See pole probleemne mitte ainult klientidele, vaid ka ettevõtte mainele.
Ründaja võib lunavara abil krüpteerida ka privaatset või olulist teavet. Pärast edukat lunavararünnakut on kõik andmed kättesaamatud, kui ettevõte just ründajale lunaraha ei maksa (ja isegi siis võivad küberkurjategijad otsustada andmeid mitte dekrüpteerida).
Kuidas kontrollida, kas haavatavus CVE-2023-23397 teid mõjutab
Kui arvate, et see haavatavus võib teie ettevõtet juba mõjutada, saate oma süsteemi automaatselt kontrollida Microsofti PowerShelli skripti abil. See skript otsib teie faile ja otsib parameetreid, mida selles rünnakus kasutatakse. Pärast nende leidmist saate need oma süsteemist kustutada. Skriptile pääseb juurde Microsofti kaudu.
Kuidas selle haavatavuse eest kaitsta
Optimaalne viis selle haavatavuse eest kaitsmiseks on värskendada kogu Outlooki tarkvara. Microsoft andis 14. märtsil 2023 välja paiga ja pärast installimist on kõik selle rünnaku katsed ebaefektiivsed.
Tarkvara parandamine peaks olema kõigi ettevõtete prioriteet, kuid kui seda mingil põhjusel ei ole võimalik saavutada, on selle rünnaku õnnestumise vältimiseks teisi võimalusi. Nad sisaldavad:
- Blokeeri TCP 445 väljaminev. See rünnak kasutab porti 445 ja kui selle pordi kaudu side pole võimalik, on rünnak ebaõnnestunud. Kui vajate porti 445 muudel eesmärkidel, peaksite jälgima kogu selle pordi liiklust ja blokeerima kõik, mis läheb välisele IP-aadressile.
- Lisage kõik kasutajad kaitstud kasutajate turberühma. Ükski selle grupi kasutaja ei saa autentimismeetodina kasutada NTLM-i. Oluline on märkida, et see võib häirida ka rakendusi, mis põhinevad NTLM-il.
- Taotlege, et kõik kasutajad keelaksid Outlookis sätte Kuva meeldetuletused. See võib takistada ründaja juurdepääsu NTLM-mandaatidele.
- Paluge kõigil kasutajatel veebikliendi teenus keelata. Oluline on märkida, et see takistab kõiki WebDevi ühendusi, sealhulgas sisevõrgu kaudu, ja seepärast pole see tingimata sobiv valik.
Peate parandama haavatavust CVE-2023-23397
Haavatavus CVE-2023-23397 on märkimisväärne Outlooki populaarsuse ja ründajale pakutava juurdepääsu tõttu. Edukas rünnak võimaldab küberründajal pääseda ligi ohvri kontole, mida saab kasutada andmete varastamiseks või krüpteerimiseks.
Ainus viis selle rünnaku eest korralikult kaitsta on Outlooki tarkvara värskendamine vajaliku paigaga, mille Microsoft on kättesaadavaks teinud. Iga ettevõte, kes seda ei tee, on häkkerite jaoks atraktiivne sihtmärk.
