Denne adgangskodehack betyder, at din arbejdsgiver skal lappe Microsoft Outlook i dag

Hackere leder konstant efter nye måder at infiltrere sikre netværk på. Dette er en vanskelig udfordring, fordi alle ansvarlige virksomheder investerer i sikkerhed. En metode, der dog altid vil være effektiv, er brugen af ​​nye sårbarheder i populære softwareprodukter.

En sårbarhed blev for nylig opdaget i Outlook, der gør det muligt for hackere at stjæle adgangskoder ved blot at sende en e-mail til kontoindehaveren. En patch er blevet frigivet, men mange virksomheder har endnu ikke opdateret deres version af Outlook.

Så hvad er denne sårbarhed, og hvordan kan virksomheder forsvare sig mod den?

Hvad er CVE-2023-23397-sårbarheden?

CVE-2023-23397-sårbarheden er en privilegie-eskaleringssårbarhed, der påvirker Microsoft Outlook, der kører på Windows.

Denne sårbarhed menes at være blevet brugt fra april til december 2022 af nationalstatsaktører mod en lang række industrier. En patch blev udgivet i marts 2023.

Mens frigivelsen af ​​en patch betyder, at organisationer nemt kan forsvare sig imod den, betyder det faktum, at den nu bliver kraftigt offentliggjort, at risikoen for virksomheder, der ikke patcher, er steget.

Det er ikke ualmindeligt, at sårbarheder brugt af nationalstater oprindeligt bliver brugt bredt af individuelle hackere og hackergrupper, når først tilgængeligheden er kendt.

Hvem er målrettet af Microsoft Outlook-sårbarheden?

CVE-2023-23397-sårbarheden er kun effektiv mod Outlook, der kører på Windows. Android-, Apple- og webbrugere er ikke berørt og behøver ikke at opdatere deres software.

Det er usandsynligt, at privatpersoner bliver målrettet, fordi det ikke er så rentabelt som at målrette en virksomhed. Hvis en privatperson bruger Outlook til Windows, bør de dog stadig opdatere deres software.

Virksomheder vil sandsynligvis være det primære mål, fordi mange bruger Outlook til Windows til at beskytte deres vigtige data. Den lethed, hvormed angrebet kan udføres, og antallet af virksomheder, der bruger softwaren, betyder, at sårbarheden sandsynligvis vil vise sig populær blandt hackere.

Hvordan virker sårbarheden?

Dette angreb bruger en e-mail med specifikke egenskaber, der får Microsoft Outlook til at afsløre ofrets NTLM-hash. NTLM står for New Technology LAN Master, og denne hash kan bruges til godkendelse til ofrets konto.

E-mailen henter hashen ved at bruge en udvidet MAPI (Microsoft Outlook Messaging Application Programming Interface) egenskab, som indeholder stien til en Server Message Block-share, som styres af angriber.

Når Outlook modtager denne e-mail, forsøger den at godkende sig selv til SMB-delingen ved hjælp af dens NTLM-hash. Hackeren, der har kontrol over SMB-andelen, kan derefter få adgang til hashen.

Hvorfor er Outlook-sårbarheden så effektiv?

CVE-2023-23397 er en effektiv sårbarhed af en række årsager:

• Outlook bruges af en bred vifte af virksomheder. Dette gør det attraktivt for hackere.
• CVE-2023-23397 sårbarheden er nem at bruge og kræver ikke megen teknisk viden at implementere.
• CVE-2023-23397 sårbarheden er svær at forsvare sig imod. De fleste e-mail-baserede angreb kræver, at modtageren interagerer med e-mailen. Denne sårbarhed er effektiv uden interaktion. På grund af dette, uddanne medarbejdere om phishing-e-mails eller at fortælle dem ikke at downloade e-mail-vedhæftede filer (dvs. de traditionelle metoder til at undgå ondsindede e-mails) har ingen effekt.
• Dette angreb bruger ikke nogen form for malware. På grund af dette vil det ikke blive opfanget af sikkerhedssoftware.

Hvad sker der med ofre for denne sårbarhed?

CVE-2023-23397-sårbarheden giver en hacker mulighed for at få adgang til ofrets konto. Udfaldet afhænger derfor af, hvad offeret har adgang til. Angriberen kan stjæle data eller starte et ransomware-angreb.

Hvis offeret har adgang til private data, kan angriberen stjæle dem. I tilfælde af kundeoplysninger, det kan sælges på det mørke web. Dette er ikke kun problematisk for kunderne, men også for virksomhedens omdømme.

Angriberen kan også være i stand til at kryptere private eller vigtige oplysninger ved hjælp af ransomware. Efter et vellykket ransomware-angreb er alle data utilgængelige, medmindre virksomheden betaler angriberen en løsesum (og selv da kan cyberkriminelle beslutte ikke at dekryptere dataene).

Sådan tjekker du, om du er berørt af CVE-2023-23397-sårbarheden

Hvis du tror, ​​at din virksomhed allerede er blevet berørt af denne sårbarhed, kan du tjekke dit system automatisk ved hjælp af et PowerShell-script fra Microsoft. Dette script søger i dine filer og søger efter parametre, der bruges i dette angreb. Når du har fundet dem, kan du slette dem fra dit system. Scriptet kan tilgås via Microsoft.

Sådan beskytter du dig mod denne sårbarhed

Den optimale måde at beskytte sig mod denne sårbarhed på er at opdatere al Outlook-software. Microsoft udgav en patch den 14. marts 2023, og når den først er installeret, vil alle forsøg på dette angreb være ineffektive.

Selvom patching-software bør være en prioritet for alle virksomheder, hvis dette af en eller anden grund ikke kan opnås, er der andre måder at forhindre dette angreb i at lykkes. De omfatter:

• Bloker TCP 445 udgående. Dette angreb bruger port 445, og hvis ingen kommunikation er mulig via den port, vil angrebet være mislykket. Hvis du har brug for port 445 til andre formål, bør du overvåge al trafik over den port og blokere alt, der går til en ekstern IP-adresse.
• Føj alle brugere til den beskyttede brugersikkerhedsgruppe. Enhver bruger i denne gruppe kan ikke bruge NTLM som en godkendelsesmetode. Det er vigtigt at bemærke, at dette også kan forstyrre alle applikationer, der er afhængige af NTLM.
• Anmod om, at alle brugere deaktiverer indstillingen Vis påmindelser i Outlook. Dette kan forhindre, at angriberen får adgang til NTLM-legitimationsoplysninger.
• Anmod om, at alle brugere deaktiverer WebClient-tjenesten. Det er vigtigt at bemærke, at dette vil forhindre alle WebDev-forbindelser inklusive over intranet og derfor ikke nødvendigvis er en passende mulighed.

Du er nødt til at patche mod CVE-2023-23397-sårbarheden

CVE-2023-23397-sårbarheden er betydelig på grund af Outlooks popularitet og mængden af ​​adgang, som det giver en hacker. Et vellykket angreb giver cyberangriberen mulighed for at få adgang til ofrets konto, som kan bruges til at stjæle eller kryptere data.

Den eneste måde at beskytte sig ordentligt mod dette angreb er at opdatere Outlook-softwaren med den nødvendige patch, som Microsoft har stillet til rådighed. Enhver virksomhed, der undlader at gøre det, er et attraktivt mål for hackere.