Ακόμη και η τυπική ασφάλεια ηλεκτρονικού ταχυδρομείου δεν θα σας προστατεύσει από αυτήν την έξυπνη ευπάθεια στο Outlook. Ευτυχώς, δεν είσαι αβοήθητος.
Οι χάκερ αναζητούν συνεχώς νέους τρόπους διείσδυσης σε ασφαλή δίκτυα. Αυτή είναι μια δύσκολη πρόκληση γιατί όλες οι υπεύθυνες επιχειρήσεις επενδύουν στην ασφάλεια. Μια μέθοδος που θα είναι πάντα αποτελεσματική, ωστόσο, είναι η χρήση νέων τρωτών σημείων σε δημοφιλή προϊόντα λογισμικού.
Πρόσφατα ανακαλύφθηκε μια ευπάθεια στο Outlook που επιτρέπει στους χάκερ να κλέβουν κωδικούς πρόσβασης στέλνοντας απλώς email στον κάτοχο του λογαριασμού. Έχει κυκλοφορήσει μια ενημέρωση κώδικα, αλλά πολλές επιχειρήσεις δεν έχουν ακόμη ενημερώσει την έκδοση του Outlook.
Ποια είναι λοιπόν αυτή η ευπάθεια και πώς μπορούν οι επιχειρήσεις να αμυνθούν εναντίον της;
Τι είναι η ευπάθεια CVE-2023-23397;
Η ευπάθεια CVE-2023-23397 είναι μια ευπάθεια κλιμάκωσης προνομίων που επηρεάζει το Microsoft Outlook που εκτελείται σε Windows.
Αυτή η ευπάθεια πιστεύεται ότι χρησιμοποιήθηκε από τον Απρίλιο έως τον Δεκέμβριο του 2022 από φορείς των εθνικών κρατών εναντίον μιας μεγάλης ποικιλίας βιομηχανιών. Ένα patch κυκλοφόρησε τον Μάρτιο του 2023.
Ενώ η κυκλοφορία μιας ενημερωμένης έκδοσης κώδικα σημαίνει ότι οι οργανισμοί μπορούν εύκολα να αμυνθούν εναντίον της, το γεγονός ότι τώρα δημοσιοποιείται σε μεγάλο βαθμό σημαίνει ότι ο κίνδυνος για τις επιχειρήσεις που δεν επιδιορθώνουν έχει αυξηθεί.
Δεν είναι ασυνήθιστο τα τρωτά σημεία που χρησιμοποιούνται από τα εθνικά κράτη αρχικά να χρησιμοποιούνται ευρέως από μεμονωμένους χάκερ και ομάδες χάκερ, αφού γίνει γνωστή η διαθεσιμότητά τους.
Ποιος στοχεύεται από την ευπάθεια του Microsoft Outlook;
Η ευπάθεια CVE-2023-23397 είναι αποτελεσματική μόνο έναντι του Outlook που εκτελείται σε Windows. Οι χρήστες Android, Apple και web, δεν επηρεάζονται και δεν χρειάζεται να ενημερώσουν το λογισμικό τους.
Οι ιδιώτες είναι απίθανο να στοχοποιηθούν, επειδή κάτι τέτοιο δεν είναι τόσο κερδοφόρο όσο η στόχευση μιας επιχείρησης. Ωστόσο, εάν ένας ιδιώτης χρησιμοποιεί το Outlook για Windows, θα πρέπει να ενημερώσει το λογισμικό του.
Οι επιχειρήσεις είναι πιθανό να είναι ο πρωταρχικός στόχος, επειδή πολλοί χρησιμοποιούν το Outlook για Windows για να προστατεύσουν τα σημαντικά δεδομένα τους. Η ευκολία με την οποία μπορεί να πραγματοποιηθεί η επίθεση και ο αριθμός των επιχειρήσεων που χρησιμοποιούν το λογισμικό, σημαίνει ότι η ευπάθεια είναι πιθανό να αποδειχθεί δημοφιλής στους χάκερ.
Πώς λειτουργεί η ευπάθεια;
Αυτή η επίθεση χρησιμοποιεί ένα μήνυμα ηλεκτρονικού ταχυδρομείου με συγκεκριμένες ιδιότητες που αναγκάζει το Microsoft Outlook να αποκαλύψει τον κατακερματισμό NTLM του θύματος. Το NTLM σημαίνει New Technology LAN Master και αυτός ο κατακερματισμός μπορεί να χρησιμοποιηθεί για έλεγχο ταυτότητας στο λογαριασμό του θύματος.
Το email αποκτά τον κατακερματισμό χρησιμοποιώντας ένα εκτεταμένο MAPI (Προγραμματισμός εφαρμογής μηνυμάτων Microsoft Outlook Interface) ιδιότητα που περιέχει τη διαδρομή ενός κοινόχρηστου στοιχείου μπλοκ μηνυμάτων διακομιστή που ελέγχεται από το επιτεθείς.
Όταν το Outlook λαμβάνει αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου, επιχειρεί να ελέγξει την ταυτότητα του στο κοινόχρηστο στοιχείο SMB χρησιμοποιώντας τον κατακερματισμό του NTLM. Ο χάκερ που ελέγχει το κοινόχρηστο στοιχείο SMB μπορεί στη συνέχεια να έχει πρόσβαση στον κατακερματισμό.
Γιατί είναι τόσο αποτελεσματικό το θέμα ευπάθειας του Outlook;
Το CVE-2023-23397 είναι μια αποτελεσματική ευπάθεια για διάφορους λόγους:
- Το Outlook χρησιμοποιείται από μεγάλη ποικιλία επιχειρήσεων. Αυτό το καθιστά ελκυστικό για τους χάκερ.
- Η ευπάθεια CVE-2023-23397 είναι εύκολη στη χρήση και δεν απαιτεί πολλές τεχνικές γνώσεις για την εφαρμογή της.
- Η ευπάθεια CVE-2023-23397 είναι δύσκολο να προστατευτεί. Οι περισσότερες επιθέσεις που βασίζονται σε email απαιτούν από τον παραλήπτη να αλληλεπιδρά με το email. Αυτή η ευπάθεια είναι αποτελεσματική χωρίς καμία αλληλεπίδραση. Εξαιτίας αυτού, η εκπαίδευση των εργαζομένων σχετικά με τα μηνύματα ηλεκτρονικού ψαρέματος ή να τους πείτε να μην κάνουν λήψη συνημμένων email (δηλαδή οι παραδοσιακές μέθοδοι για την αποφυγή κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου) δεν έχει κανένα αποτέλεσμα.
- Αυτή η επίθεση δεν χρησιμοποιεί κανένα είδος κακόβουλου λογισμικού. Εξαιτίας αυτού, δεν θα παραληφθεί από λογισμικό ασφαλείας.
Τι συμβαίνει με τα θύματα αυτής της ευπάθειας;
Η ευπάθεια CVE-2023-23397 επιτρέπει σε έναν εισβολέα να αποκτήσει πρόσβαση στον λογαριασμό του θύματος. Επομένως, το αποτέλεσμα εξαρτάται από το σε τι έχει πρόσβαση το θύμα. Ο εισβολέας μπορεί να κλέψει δεδομένα ή εξαπολύσουν μια επίθεση ransomware.
Εάν το θύμα έχει πρόσβαση σε προσωπικά δεδομένα, ο εισβολέας μπορεί να τα κλέψει. Σε περίπτωση ενημέρωσης πελατών, μπορεί να πωληθεί στο dark web. Αυτό δεν είναι μόνο προβληματικό για τους πελάτες αλλά και για τη φήμη της επιχείρησης.
Ο εισβολέας μπορεί επίσης να είναι σε θέση να κρυπτογραφήσει ιδιωτικές ή σημαντικές πληροφορίες χρησιμοποιώντας ransomware. Μετά από μια επιτυχημένη επίθεση ransomware, όλα τα δεδομένα δεν είναι προσβάσιμα εκτός εάν η επιχείρηση πληρώσει στον εισβολέα μια πληρωμή λύτρων (και ακόμη και τότε, οι εγκληματίες του κυβερνοχώρου μπορεί να αποφασίσουν να μην αποκρυπτογραφήσουν τα δεδομένα).
Πώς να ελέγξετε εάν επηρεάζεστε από την ευπάθεια CVE-2023-23397
Εάν πιστεύετε ότι η επιχείρησή σας μπορεί να έχει ήδη επηρεαστεί από αυτήν την ευπάθεια, μπορείτε να ελέγξετε αυτόματα το σύστημά σας χρησιμοποιώντας μια δέσμη ενεργειών PowerShell από τη Microsoft. Αυτό το σενάριο αναζητά τα αρχεία σας και αναζητά παραμέτρους που χρησιμοποιούνται σε αυτήν την επίθεση. Αφού τα βρείτε, μπορείτε να τα διαγράψετε από το σύστημά σας. Το σενάριο είναι προσβάσιμο μέσω της Microsoft.
Πώς να προστατευτείτε από αυτήν την ευπάθεια
Ο βέλτιστος τρόπος προστασίας από αυτήν την ευπάθεια είναι να ενημερώσετε όλο το λογισμικό του Outlook. Η Microsoft κυκλοφόρησε μια ενημέρωση κώδικα στις 14 Μαρτίου 2023 και μόλις εγκατασταθεί, οποιεσδήποτε προσπάθειες για αυτήν την επίθεση θα είναι αναποτελεσματική.
Ενώ η ενημέρωση κώδικα λογισμικού θα πρέπει να αποτελεί προτεραιότητα για όλες τις επιχειρήσεις, εάν για κάποιο λόγο αυτό δεν μπορεί να επιτευχθεί, υπάρχουν άλλοι τρόποι για να αποτρέψετε την επιτυχία αυτής της επίθεσης. Περιλαμβάνουν:
- Αποκλεισμός εξερχόμενου TCP 445. Αυτή η επίθεση χρησιμοποιεί τη θύρα 445 και εάν δεν είναι δυνατή η επικοινωνία μέσω αυτής της θύρας, η επίθεση θα είναι ανεπιτυχής. Εάν χρειάζεστε τη θύρα 445 για άλλους σκοπούς, θα πρέπει να παρακολουθείτε όλη την κίνηση σε αυτήν τη θύρα και να αποκλείετε οτιδήποτε πηγαίνει σε μια εξωτερική διεύθυνση IP.
- Προσθέστε όλους τους χρήστες στην Ομάδα ασφαλείας προστατευμένων χρηστών. Οποιοσδήποτε χρήστης σε αυτήν την ομάδα δεν μπορεί να χρησιμοποιήσει το NTLM ως μέθοδο ελέγχου ταυτότητας. Είναι σημαντικό να σημειωθεί ότι αυτό μπορεί επίσης να επηρεάσει τυχόν εφαρμογές που βασίζονται στο NTLM.
- Ζητήστε από όλους τους χρήστες να απενεργοποιήσουν τη ρύθμιση Εμφάνιση υπενθυμίσεων στο Outlook. Αυτό μπορεί να αποτρέψει την πρόσβαση στα διαπιστευτήρια NTLM από τον εισβολέα.
- Ζητήστε από όλους τους χρήστες να απενεργοποιήσουν την υπηρεσία WebClient. Είναι σημαντικό να σημειωθεί ότι αυτό θα αποτρέψει όλες τις συνδέσεις WebDev, συμπεριλαμβανομένου του intranet και επομένως δεν είναι απαραίτητα κατάλληλη επιλογή.
Πρέπει να επιδιορθώσετε την ευπάθεια CVE-2023-23397
Η ευπάθεια CVE-2023-23397 είναι σημαντική λόγω της δημοτικότητας του Outlook και του όγκου πρόσβασης που παρέχει σε έναν εισβολέα. Μια επιτυχημένη επίθεση επιτρέπει στον κυβερνοεπιτιθέμενο να αποκτήσει πρόσβαση στον λογαριασμό του θύματος, ο οποίος μπορεί να χρησιμοποιηθεί για την κλοπή ή την κρυπτογράφηση δεδομένων.
Ο μόνος τρόπος για να προστατευτείτε σωστά από αυτήν την επίθεση είναι να ενημερώσετε το λογισμικό του Outlook με την απαραίτητη ενημέρωση κώδικα που έχει διαθέσει η Microsoft. Οποιαδήποτε επιχείρηση αποτυγχάνει να το κάνει είναι ελκυστικός στόχος για τους χάκερ.
