Mogli czytać twoje maile. Luka w popularnej poczcie

Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni poinformowało o niebezpiecznej luce, która pozwalała hakerom na nieuprawniony dostęp do skrzynek e-mail. Problem dotyczy osób, które korzystają z poczty Microsoft Outlook.

Microsoft Outlook to jedno z popularniejszych narzędzi pocztowych, szczególnie w przedsiębiorstwach. Niepokojące są więc doniesienia na temat techniki, która pozwala na uzyskanie dostępu do korespondencji pocztowej. O sprawie poinformowało Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni.

Technika, o której pisze DKWOC, polega na modyfikacji uprawnień do folderów skrzynki pocztowej w ramach serwerów Microsoft Exchange. Jak czytamy w komunikacie, była ona stosowana po uzyskaniu dostępu do kont pocztowych przez CVE-2023-23397 lub password-spraying. Działania, związane z wykorzystaniem podatności CVE-2023-23397 po raz pierwszy zostały wykryte przez CERT-UA.

Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni przygotowało zestaw narzędzi, które mogą zostać uruchomione w środowisku pocztowym Microsoft Exchange. W celu identyfikacji zagrożenia przeprowadzono działania w porozumieniu z CSIRT MON, CSIRT GOV, CSIRT NASK, SKW oraz ze wsparciem firmy Microsoft. DKWOC ostrzega jednak, że technika nadal może być aktywnie wykorzystywana.

Dalsza część artykułu pod materiałem wideo

Biorąc pod uwagę, że hakerzy korzystają z technik typu password-spraying, które polegają na wpisywaniu popularnych haseł, dobrym pomysłem jest zmiana hasła na takie, które jest oryginalne. DKWOC podkreśla też, że hakerzy stosowali techniki typu bruteforce, co oznacza, że dłuższe hasło daje nam mniejsze prawdopodobieństwo złamania go przez cyberprzestępców. Ostatnim sposobem pozyskiwania dostępu do poczty było wykorzystanie wcześniej wspomnianej podatności CVE-2023-23397.

W kolejnym etapie atakujący zmienia uprawnienia do folderów w ramach skrzynki pocztowej ofiary. W większości przypadków uprawnienia zmienia się tak, że każdy uwierzytelniony użytkownik w ramach organizacji uzyskuje dostęp do folderów.

Jak podaje DKWOC, cyberprzestępcy mogą w ten sposób uzyskać dostęp do skrzynek o wysokiej wartości informacyjnej przez dowolnie skompromitowane hasło w organizacji. Co więcej, modyfikacja uprawnień dostępu do wszystkich folderów zajmowała kilka sekund. Sprawia to jednak, że łatwo jest rozpoznać działanie cyberprzestępców – fizycznie nie jest możliwe, by użytkownik dokonał zmian ręcznie w tak krótkim czasie.

Mimo to specjaliści z DKWOC podkreślają, że trudno jest bronić się przed atakami. Głównie dlatego, że przestępcy nie wykorzystują żadnych narzędzi ofensywnych, więc jedynym sposobem obrony przed atakiem jest analiza dzienników zdarzeń, które są domyślnie zapisywane na serwerach pocztowych. Z komunikatu wynika, że technika ta mogła zostać wykorzystana wobec licznych podmiotów krajowych i zagranicznych. DKWOC przygotowało też rekomendacje, które mogą pomóc w odnalezieniu podejrzanych modyfikacji uprawnień. Jeśli stwierdzone zostaną nieprawidłowości, zaleca się kontakt z właściwym zespołem CSIRT poziomu krajowego.