Toto hacknutí hesla znamená, že váš zaměstnavatel musí opravit Microsoft Outlook ještě dnes

Hackeři neustále hledají nové způsoby, jak proniknout do zabezpečených sítí. To je obtížná výzva, protože všechny odpovědné podniky investují do bezpečnosti. Jednou z metod, která však bude vždy účinná, je použití nových zranitelností v oblíbených softwarových produktech.

V aplikaci Outlook byla nedávno objevena zranitelnost, která hackerům umožňuje ukrást hesla pouhým zasláním e-mailu majiteli účtu. Byla vydána oprava, ale mnoho firem ještě neaktualizovalo svou verzi Outlooku.

V čem tedy spočívá tato zranitelnost a jak se proti ní mohou podniky bránit?

Jaká je chyba zabezpečení CVE-2023-23397?

Chyba zabezpečení CVE-2023-23397 je chyba zabezpečení týkající se eskalace oprávnění, která ovlivňuje aplikaci Microsoft Outlook spuštěnou v systému Windows.

Předpokládá se, že tuto zranitelnost využívali od dubna do prosince 2022 aktéři národního státu proti široké škále průmyslových odvětví. Oprava byla vydána v březnu 2023.

Zatímco vydání opravy znamená, že se proti ní mohou organizace snadno bránit, skutečnost, že se nyní intenzivně propaguje, znamená, že riziko pro podniky, které opravy neprovádějí, se zvýšilo.

Není neobvyklé, že zranitelnosti používané národními státy zpočátku široce využívají jednotliví hackeři a hackerské skupiny, jakmile je známa jejich dostupnost.

Na koho se zranitelnost Microsoft Outlooku zaměřuje?

Chyba zabezpečení CVE-2023-23397 je účinná pouze u aplikace Outlook spuštěné v systému Windows. Uživatelé systémů Android, Apple a webu nejsou ovlivněni a nemusí svůj software aktualizovat.

Je nepravděpodobné, že se zaměří na soukromé osoby, protože to není tak ziskové jako zacílení na firmu. Pokud však soukromá osoba používá Outlook pro Windows, měla by stále aktualizovat svůj software.

Podniky budou pravděpodobně primárním cílem, protože mnoho z nich používá Outlook pro Windows k ochraně svých důležitých dat. Snadnost, s jakou lze útok provést, a množství podniků, které software používají, znamenají, že se tato zranitelnost pravděpodobně ukáže být oblíbenou mezi hackery.

Jak zranitelnost funguje?

Tento útok využívá e-mail se specifickými vlastnostmi, který způsobí, že Microsoft Outlook odhalí NTLM hash oběti. NTLM znamená New Technology LAN Master a tento hash lze použít pro autentizaci k účtu oběti.

E-mail získává hash pomocí rozšířeného MAPI (Microsoft Outlook Messaging Application Programming Interface) vlastnost, která obsahuje cestu ke sdílené složce Server Message Block, která je řízena útočník.

Když Outlook obdrží tento e-mail, pokusí se ověřit sám sebe ke sdílené složce SMB pomocí hash NTLM. Hacker ovládající sdílení SMB pak může získat přístup k hash.

Proč je chyba zabezpečení aplikace Outlook tak účinná?

CVE-2023-23397 je účinná chyba zabezpečení z několika důvodů:

• Outlook používá celá řada podniků. Díky tomu je pro hackery atraktivní.
• Zranitelnost CVE-2023-23397 se snadno používá a její implementace nevyžaduje mnoho technických znalostí.
• Proti zranitelnosti CVE-2023-23397 je obtížné se bránit. Většina útoků založených na e-mailu vyžaduje interakci příjemce s e-mailem. Tato chyba zabezpečení je účinná bez jakékoli interakce. Kvůli tomu vzdělávat zaměstnance o phishingových e-mailech nebo říkat jim, aby nestahovali přílohy e-mailů (tj. tradiční metody, jak se vyhnout škodlivým e-mailům), nemá žádný účinek.
• Tento útok nepoužívá žádný typ malwaru. Z tohoto důvodu jej nezachytí bezpečnostní software.

Co se stane s oběťmi této zranitelnosti?

Chyba zabezpečení CVE-2023-23397 umožňuje útočníkovi získat přístup k účtu oběti. Výsledek tedy závisí na tom, k čemu má oběť přístup. Útočník může ukrást data popř spustit ransomwarový útok.

Pokud má oběť přístup k soukromým datům, může je útočník ukrást. V případě informací o zákazníkovi, lze jej prodávat na tmavém webu. To je problematické nejen pro zákazníky, ale také pro pověst podniku.

Útočník může být také schopen zašifrovat soukromé nebo důležité informace pomocí ransomwaru. Po úspěšném útoku ransomwaru jsou všechna data nepřístupná, pokud firma nezaplatí útočníkovi výkupné (a i tehdy se mohou kyberzločinci rozhodnout data nedešifrovat).

Jak zkontrolovat, zda se vás týká chyba zabezpečení CVE-2023-23397

Pokud se domníváte, že vaše firma již mohla být touto chybou zabezpečení zasažena, můžete svůj systém zkontrolovat automaticky pomocí skriptu PowerShell od společnosti Microsoft. Tento skript prohledává vaše soubory a hledá parametry, které se používají při tomto útoku. Po jejich nalezení je můžete odstranit ze svého systému. Skript je přístupný přes Microsoft.

Jak se chránit před touto chybou zabezpečení

Optimálním způsobem ochrany před touto chybou zabezpečení je aktualizace veškerého softwaru aplikace Outlook. Společnost Microsoft vydala opravu 14. března 2023 a po instalaci budou jakékoli pokusy o tento útok neúčinné.

Zatímco záplatování softwaru by mělo být prioritou pro všechny podniky, pokud toho z nějakého důvodu nelze dosáhnout, existují jiné způsoby, jak zabránit úspěchu tohoto útoku. Obsahují:

• Blokovat odchozí TCP 445. Tento útok používá port 445 a pokud přes tento port není možná žádná komunikace, bude útok neúspěšný. Pokud potřebujete port 445 pro jiné účely, měli byste sledovat veškerý provoz přes tento port a blokovat vše, co jde na externí IP adresu.
• Přidejte všechny uživatele do skupiny zabezpečení chráněného uživatele. Žádný uživatel v této skupině nemůže použít NTLM jako metodu ověřování. Je důležité poznamenat, že to může také rušit jakékoli aplikace, které spoléhají na NTLM.
• Požádejte, aby všichni uživatelé zakázali nastavení Zobrazit připomenutí v aplikaci Outlook. To může zabránit útočníkovi v přístupu k přihlašovacím údajům NTLM.
• Požadujte, aby všichni uživatelé zakázali službu Webový klient. Je důležité poznamenat, že to zabrání všem připojením WebDev, včetně připojení přes intranet, a proto to není nutně vhodná volba.

Je třeba provést opravu proti chybě zabezpečení CVE-2023-23397

Chyba zabezpečení CVE-2023-23397 je významná kvůli popularitě aplikace Outlook a rozsahu přístupu, který útočníkovi poskytuje. Úspěšný útok umožňuje kyberútočníkovi získat přístup k účtu oběti, který může být použit ke krádeži nebo šifrování dat.

Jediným způsobem, jak se před tímto útokem správně chránit, je aktualizovat software Outlook pomocí potřebné opravy, kterou společnost Microsoft zpřístupnila. Každý podnik, který tak neučiní, je pro hackery atraktivním cílem.