W aplikacji Microsoft Outlook na komputery z systemem Windows wystąpiła krytyczna podatność. Wiadomo, że była ona wykorzystywana przez jedną z rosyjskich grup APT m.in. w Polsce. Zespół CERT Polska przekazał rekomendacje, które mają pomóc w zapewnieniu cyberbezpieczeństwa mimo powstałego problemu.
Microsoft Outlook z krytyczną podatnością
Podatność CVE-2023-23397 może prowadzić do zdalnego przejęcia hasła domenowego. Żeby przeprowadzić atak, wystarczy, że ofiara otrzyma e-maila z odpowiednio spreparowanym wydarzeniem kalendarza albo zadanie powodujące odwołanie do ścieżki UNC kontrolowanej przez atakującego.
Nie jest wymagana żadna interakcja ze strony użytkownika, a atak może zostać przeprowadzony zdalnie. Hasło domenowe pozyskane przez cyberprzestępców może zostać wykorzystane do logowania do innych dostępnych publicznie usług firmowych, np. VPNa. Przy braku korzystania z uwierzytelniania dwuskładnikowego może to prowadzić nawet do uzyskania przez atakującego dostępu do sieci firmowej.
Podatne są wszystkie wersje Microsoft Outlook na system Windows. Problem nie dotyczy natomiast oprogramowania na platformy Android, iOS oraz macOS ani usług chmurowych takich jak Microsoft 365. CERT Polska zaleca aktualizację klientów Outlook zgodnie z wytycznymi na dedykowanej stronie. Zespół przygotował także rekomendacje w związku z podatnością.
- Zablokowanie ruchu wychodzącego po protokole SMB (445/TCP) z organizacji, lub ograniczenie go do zaufanych serwerów.
- Jeśli nie jest to możliwe do wdrożenia w krótkim czasie, dokładne monitorowanie ruchu wychodzącego po protokole SMB pod kątem odwołań do nowych serwerów.
- Jeśli jest to możliwe, wyłączenie uwierzytelniania mechanizmem NTLM poprzez dodanie kont użytkowników do grupy
Protected Users Security Group(w szczególności kont administratorów domeny). Uwaga: Może to mieć wpływ na działanie aplikacji, które wymagają NTLM.- Stosowanie silnych haseł – znacząco utrudni to złamanie skrótu NTLMv2 pozyskanego poprzez wykorzystanie podatności.
- Stosowanie uwierzytelniania dwuskładnikowego, w szczególności do usług wystawionych do internetu, jak np. gateway VPN, czy OWA.
- Nieudostępnianie w internecie usług, które nie pozwalają na wykorzystanie uwierzytelniania dwuskładnikowego, jak RDP, czy SMB.
Zobacz także: Jak ustawić stopkę w Outlooku na telefonie i komputerze?
Microsoft udostępnił skrypt Powershell, który umożliwia sprawdzenie, czy użytkownicy w organizacji otrzymali wiadomości umożliwiające wykorzystanie podatności. W sytuacji, gdy narzędzie wykaże obiekty z podanymi zewnętrznymi ścieżkami UNC, może to oznaczać, że organizacja padła ofiarą ataku. CERT Polska rekomenduje w takiej sytuacji użycie odpowiedniego narzędzia i przejrzenie archiwalnych logów sieciowych pod kątem ruchu wychodzącego po protokole SMB (445/TCP), do serwerów niewykorzystywanych regularnie przez organizację.
źródło: CERT Polska