Luka w Outlooku. "Rekomendujemy podjęcie natychmiastowych działań"

Microsoft Outlook powinien zostać natychmiastowo wzięty pod uwagę w organizacjach - sugeruje CERT Polska opisując krytyczną podatność CVE-2023-23397, którą dopiero co ujawniono. To luka, która była i może być nadal wykorzystywana przez rosyjskie grupy APT, także w Polsce.

Problem dotyczy wszystkich instalacyjnych wersji Outlooka, o których Microsoft pisze w krótkim podsumowaniu związanym z luką CVE-2023-23397. Problem polega na ryzyku podniesienia uprawnień w Outlooku po uprzednim przejęciu skrótu NTLMv2 i wykorzystaniu metody siłowej do łamania hasła. Atak może zostać przy tym przeprowadzony całkowicie zdalnie i nie jest do tego konieczna interakcja użytkownika.

"Do przeprowadzenia ataku wystarczy otrzymanie przez ofiarę wiadomości e-mail zawierającej odpowiednio spreparowane wydarzenie kalendarza albo zadanie, które spowoduje odwołanie do ścieżki UNC kontrolowanej przez atakującego" - tłumaczy CERT Polska we fragmencie komunikatu. Jak zwraca uwagę, w ten sposób da się pozyskać hasło domenowe, a to użyć choćby do logowania w publicznych usługach danej firmy, co uda się, jeśli nie zastosowano uwierzytelniania dwuetapowego.

CERT Polska rekomenduje pilnie wdrożyć kilka zasad bezpieczeństwa, w tym zablokować ruch wychodzący obsługiwany przez protokół SMB (445/TCP) lub ograniczyć go do zaufanych serwerów. Alternatywnie można też dokładniej monitorować ruch w najbliższym czasie, a dodatkowo wyłączyć uwierzytelnianie mechanizmem NTLM, o ile nie utrudni to obsługi innych usług w firmie.

Wszystkich zaleceń jest więcej i przydadzą się administratorom, w których firmach stosuje się Outlooka. Warto dodać, że Microsoft udostępnił administratorom serwerów Exchange niewielki skrypt na GitHubie, który pozwala sprawdzić, czy w danej organizacji rozprzestrzeniły się wiadomości, w których opisywana podatność jest wykorzystywana. Jeśli tak, można założyć, że dana organizacja padła ofiarą ataku.