Microsoft устранила критическую уязвимость в Outlook и настоятельно рекомендует всем пользователям как можно скорее обновить почтовый клиент до последней версии

Microsoft исправила уязвимость нулевого дня в Outlook под идентификатором CVE-2023-23397  с рейтингом CVSS 9.8. Как сообщается, уязвимость может привести к удаленному захвату пароля домена без участия пользователя и использовалась в атаках с целью взлома сетей около 15 правительственных, военных, энергетических и транспортных организаций в период с середины апреля по декабрь 2022 года.

Уязвимость позволяет перехватить хэш NTLMv2 и последующую попытку восстановления пароля домена с помощью брутфорс-атаки. В ситуации, когда злоумышленник имеет доступ к локальной сети жертвы, также возможно прямое использование хэша NTLMv2 для входа в другие сервисы без необходимости его взлома.

Для проведения атаки жертве достаточно получить электронное письмо, содержащее специально созданное событие календаря или задачу, которая будет ссылаться на путь UNC, контролируемый злоумышленником. Взаимодействие с пользователем не требуется. Атака может быть осуществлена дистанционно.

Полученный доменный пароль можно использовать для входа в другие общедоступные сервисы компании, например, VPN. Если двухфакторная аутентификация не используется, это может привести к тому, что злоумышленник получит доступ к корпоративной сети.

CVE-2023-23397 влияет на все поддерживаемые версии Microsoft Outlook для Windows, но не влияет на версии для Android, iOS или macOS. Онлайн-службы, такие как веб-сайт Outlook или Microsoft 365, не поддерживают проверку подлинности NTLM, и потому неуязвимы для данных атак.

Microsoft призывает клиентов немедленно применить выпущенное исправление уязвимости или добавить пользователей в группу «Защищенные пользователи» в Active Directory и заблокировать исходящий SMB (TCP-порт 445) в качестве временной меры для минимизации воздействия атак. Теперь, когда детали уязвимости описаны публично, эксперты ожидают рост массовых атак с ее использованием уже в ближайшие время.

В дополнение Microsoft выпустила сценарий Powershell, который позволяет проверить, получали ли пользователи в вашей организации сообщения, позволяющие использовать уязвимость. Если инструмент показывает объекты с внешними UNC-путями, возможно, ваша компания подверглась атаке. Разработчики считают, что воспользоваться этим инструментом будет полезно администраторам серверов Exchange.

С заботой о вашей безопасности, команда Origin Security

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *