Овај хак за лозинку значи да ваш послодавац треба да закрпи Мицрософт Оутлоок данас

Хакери стално траже нове начине да се инфилтрирају у безбедне мреже. Ово је тежак изазов јер сви одговорни бизниси улажу у безбедност. Међутим, један метод који ће увек бити ефикасан је коришћење нових рањивости у популарним софтверским производима.

Недавно је откривена рањивост у Оутлоок-у која омогућава хакерима да украду лозинке једноставним слањем е-поште власнику налога. Објављена је закрпа, али многа предузећа још нису ажурирала своју верзију Оутлоок-а.

Дакле, која је то рањивост и како се предузећа могу одбранити од ње?

Шта је ЦВЕ-2023-23397 рањивост?

ЦВЕ-2023-23397 рањивост је рањивост ескалације привилегија која утиче на Мицрософт Оутлоок који ради на Виндовс-у.

Верује се да су ову рањивост користили актери националних држава од априла до децембра 2022. против широког спектра индустрија. Закрпа је објављена у марту 2023.

Док објављивање закрпе значи да се организације могу лако одбранити од ње, чињеница да се она сада увелико објављује значи да је повећан ризик за предузећа која не закрпе.

Није неуобичајено да рањивости које су у почетку користиле националне државе нашироко користе појединачни хакери и хакерске групе када се сазна о њиховој доступности.

Ко је мета рањивости Мицрософт Оутлоок-а?

ЦВЕ-2023-23397 рањивост је ефикасна само за Оутлоок који ради на Виндовс-у. Корисници Андроида, Аппле-а и веба нису погођени и не морају да ажурирају свој софтвер.

Мало је вероватно да ће приватници бити циљани јер то није толико исплативо као циљање предузећа. Међутим, ако приватно лице користи Оутлоок за Виндовс, ипак би требало да ажурира свој софтвер.

Предузећа ће вероватно бити примарна мета јер многи користе Оутлоок за Виндовс да би заштитили своје важне податке. Лакоћа којом се напад може извести и број предузећа која користе софтвер значе да ће се рањивост вероватно показати популарном међу хакерима.

Како функционише рањивост?

Овај напад користи е-пошту са одређеним својствима која узрокује да Мицрософт Оутлоок открије НТЛМ хеш жртве. НТЛМ је скраћеница за Нев Тецхнологи ЛАН Мастер и овај хеш се може користити за аутентификацију налога жртве.

Е-пошта добија хеш коришћењем проширеног МАПИ (Мицрософт Оутлоок Мессагинг Апплицатион Программинг). Интерфејс) својство које садржи путању дељења серверског блока порука које контролише нападач.

Када Оутлоок прими ову е-пошту, покушава да се аутентификује за СМБ дељење користећи свој НТЛМ хеш. Хакер који контролише СМБ удео тада може да приступи хешу.

Зашто је рањивост Оутлоока тако ефикасна?

ЦВЕ-2023-23397 је ефикасна рањивост из више разлога:

• Оутлоок користи велики број предузећа. То га чини привлачним за хакере.
• ЦВЕ-2023-23397 рањивост је једноставна за коришћење и не захтева пуно техничког знања за примену.
• Од ЦВЕ-2023-23397 рањивости је тешко одбранити се. Већина напада заснованих на е-пошти захтева од примаоца интеракцију са е-поштом. Ова рањивост је ефикасна без икакве интеракције. Због тога, образовање запослених о пхисхинг имејловима или да им кажете да не преузимају прилоге е-поште (тј. традиционалне методе за избегавање злонамерних е-порука) нема ефекта.
• Овај напад не користи никакву врсту малвера. Због тога га сигурносни софтвер неће покупити.

Шта се дешава са жртвама ове рањивости?

ЦВЕ-2023-23397 рањивост омогућава нападачу да добије приступ налогу жртве. Исход стога зависи од тога чему жртва има приступ. Нападач може украсти податке или покренути рансомваре напад.

Ако жртва има приступ приватним подацима, нападач их може украсти. У случају информација о клијентима, може се продати на мрачном вебу. Ово није проблематично само за купце, већ и за репутацију предузећа.

Нападач такође може бити у могућности да шифрује приватне или важне информације помоћу рансомваре-а. Након успешног напада на рансомваре, сви подаци су недоступни осим ако предузеће не плати нападачу уплату откупнине (а чак и тада, сајбер криминалци могу одлучити да не дешифрују податке).

Како да проверите да ли вас је погодила рањивост ЦВЕ-2023-23397

Ако мислите да је на ваше пословање можда већ утицала ова рањивост, можете аутоматски да проверите свој систем помоћу Мицрософт ПоверСхелл скрипте. Ова скрипта претражује ваше датотеке и тражи параметре који се користе у овом нападу. Након што их пронађете, можете их избрисати из свог система. Скрипту се може приступити преко Мицрософт-а.

Како се заштитити од ове рањивости

Оптималан начин заштите од ове рањивости је ажурирање целог Оутлоок софтвера. Мицрософт је објавио закрпу 14. марта 2023. и када се инсталира, сваки покушај овог напада биће неефикасан.

Иако би закрпа софтвера требало да буде приоритет за сва предузећа, ако се из неког разлога то не може постићи, постоје други начини да се спречи да овај напад буде успешан. То укључује:

• Блокирај одлазни ТЦП 445. Овај напад користи порт 445 и ако комуникација није могућа преко тог порта, напад ће бити неуспешан. Ако вам је потребан порт 445 за друге сврхе, требало би да надгледате сав саобраћај преко тог порта и блокирате све што иде на спољну ИП адресу.
• Додајте све кориснике у безбедносну групу заштићених корисника. Ниједан корисник у овој групи не може да користи НТЛМ као метод аутентификације. Важно је напоменути да ово такође може ометати све апликације које се ослањају на НТЛМ.
• Захтевајте да сви корисници онемогуће поставку Прикажи подсетнике у Оутлоок-у. Ово може спречити нападач да приступи НТЛМ акредитивима.
• Захтевајте да сви корисници онемогуће услугу ВебЦлиент. Важно је напоменути да ће ово спречити све ВебДев везе, укључујући преко интранета, и стога није нужно одговарајућа опција.

Морате да закрпите рањивост ЦВЕ-2023-23397

ЦВЕ-2023-23397 рањивост је значајна због популарности Оутлоок-а и количине приступа коју пружа нападачу. Успешан напад омогућава сајбер нападачу да добије приступ налогу жртве који се може користити за крађу или шифровање података.

Једини начин да се правилно заштитите од овог напада је ажурирање Оутлоок софтвера потребном закрпом коју је Мицрософт ставио на располагање. Сваки посао који то не уради је привлачна мета за хакере.