אפילו אבטחת דוא"ל טיפוסית לא תגן עליך מפני הפגיעות החכמה הזו ב-Outlook. למרבה המזל, אתה לא חסר אונים.
האקרים מחפשים כל הזמן דרכים חדשות לחדור לרשתות מאובטחות. זהו אתגר קשה מכיוון שכל העסקים האחראים משקיעים באבטחה. שיטה אחת שתמיד תהיה יעילה, עם זאת, היא השימוש בפרצות חדשות במוצרי תוכנה פופולריים.
לאחרונה התגלתה פגיעות באאוטלוק המאפשרת להאקרים לגנוב סיסמאות על ידי שליחת אימייל לבעל החשבון. תיקון שוחרר, אך עסקים רבים עדיין לא עדכנו את גרסת Outlook שלהם.
אז מהי הפגיעות הזו, ואיך עסקים יכולים להתגונן מפניה?
מהי הפגיעות של CVE-2023-23397?
הפגיעות CVE-2023-23397 היא פגיעות הסלמה של הרשאות המשפיעה על Microsoft Outlook הפועל ב-Windows.
על פי ההערכות, פגיעות זו שימשה מאפריל עד דצמבר 2022 על ידי גורמי מדינות לאום נגד מגוון רחב של תעשיות. תיקון שוחרר במרץ 2023.
בעוד ששחרור תיקון אומר שארגונים יכולים להתגונן מפניו בקלות, העובדה שהוא זוכה לפרסום רב פירושה שהסיכון לעסקים שאינם מתקינים גדל.
אין זה נדיר שפגיעויות בהן השתמשו מדינות לאום בתחילה נמצאות בשימוש נרחב על ידי האקרים וקבוצות פריצה בודדות ברגע שזמינותן ידועה.
מי ממוקד על ידי הפגיעות של Microsoft Outlook?
הפגיעות של CVE-2023-23397 יעילה רק נגד Outlook הפועל ב-Windows. משתמשי אנדרואיד, אפל ואינטרנט אינם מושפעים ואינם צריכים לעדכן את התוכנה שלהם.
סביר להניח שאנשים פרטיים לא יהיו ממוקדים כי פעולה זו אינה רווחית כמו מיקוד לעסק. עם זאת, אם אדם פרטי משתמש ב-Outlook עבור Windows, הוא עדיין צריך לעדכן את התוכנה שלו.
סביר להניח שעסקים יהיו היעד העיקרי מכיוון שרבים משתמשים ב-Outlook for Windows כדי להגן על הנתונים החשובים שלהם. הקלות שבה ניתן לבצע את המתקפה, וכמות העסקים המשתמשים בתוכנה, גורמים לכך שהפגיעות עשויה להתגלות כפופולרית בקרב האקרים.
כיצד פועלת הפגיעות?
מתקפה זו משתמשת באימייל עם מאפיינים ספציפיים שגורם ל-Microsoft Outlook לחשוף את ה-NTLM hash של הקורבן. NTLM מייצג New Technology LAN Master וניתן להשתמש ב-hash זה לאימות לחשבון הקורבן.
האימייל רוכש את ה-hash באמצעות MAPI מורחב (תכנות יישומי הודעות של Microsoft Outlook ממשק) המאפיין המכיל את הנתיב של שיתוף בלוק הודעות שרת אשר נשלט על ידי תוֹקֵף.
כאשר Outlook מקבל דוא"ל זה, הוא מנסה לאמת את עצמו לשיתוף ה-SMB באמצעות ה-NTLM hash שלו. לאחר מכן, ההאקר השולט בשיתוף ה-SMB יכול לגשת ל-hash.
מדוע פגיעות Outlook כל כך יעילה?
CVE-2023-23397 הוא פגיעות יעילה ממספר סיבות:
- Outlook נמצא בשימוש על ידי מגוון רחב של עסקים. זה הופך אותו לאטרקטיבי עבור האקרים.
- הפגיעות של CVE-2023-23397 קלה לשימוש ואינה דורשת ידע טכני רב ליישום.
- קשה להתגונן מפני פגיעות CVE-2023-23397. רוב ההתקפות המבוססות על דואר אלקטרוני דורשות מהנמען אינטראקציה עם האימייל. פגיעות זו יעילה ללא כל אינטראקציה. בגלל זה, חינוך עובדים לגבי הודעות דיוג או לומר להם לא להוריד קבצים מצורפים לאימייל (כלומר השיטות המסורתיות להימנע מהודעות דוא"ל זדוניות) לא משפיע.
- התקפה זו אינה משתמשת בשום סוג של תוכנות זדוניות. בגלל זה, זה לא ייקלט על ידי תוכנת אבטחה.
מה קורה לקורבנות של פגיעות זו?
הפגיעות של CVE-2023-23397 מאפשרת לתוקף לקבל גישה לחשבון של הקורבן. התוצאה תלויה אפוא במה שיש לקורבן גישה אליו. התוקף עלול לגנוב נתונים או להפעיל מתקפת כופר.
אם לקורבן יש גישה לנתונים פרטיים, התוקף יכול לגנוב אותם. במקרה של פרטי לקוח, ניתן למכור אותו ברשת האפלה. זה לא רק בעייתי עבור הלקוחות אלא גם עבור המוניטין של העסק.
ייתכן שהתוקף יוכל גם להצפין מידע פרטי או חשוב באמצעות תוכנת כופר. לאחר מתקפת כופר מוצלחת, כל הנתונים אינם נגישים אלא אם כן העסק משלם לתוקף תשלום כופר (וגם אז, פושעי הסייבר עשויים להחליט שלא לפענח את הנתונים).
כיצד לבדוק אם אתה מושפע מפגיעות CVE-2023-23397
אם אתה חושב שייתכן שהעסק שלך כבר הושפע מפגיעות זו, תוכל לבדוק את המערכת שלך באופן אוטומטי באמצעות סקריפט PowerShell של Microsoft. סקריפט זה מחפש את הקבצים שלך ומחפש פרמטרים המשמשים בהתקפה זו. לאחר מציאתם, תוכל למחוק אותם מהמערכת שלך. ניתן לגשת לסקריפט דרך מיקרוסופט.
כיצד להתגונן מפני פגיעות זו
הדרך האופטימלית להגן מפני פגיעות זו היא לעדכן את כל תוכנות Outlook. מיקרוסופט פרסמה תיקון ב-14 במרץ 2023, ולאחר ההתקנה, כל ניסיונות ההתקפה הזו לא יהיו יעילים.
בעוד שתוכנת תיקון צריכה להיות בראש סדר העדיפויות של כל העסקים, אם מסיבה כלשהי לא ניתן להשיג זאת, ישנן דרכים אחרות למנוע את הצלחת המתקפה הזו. הם כוללים:
- חסום TCP 445 יוצא. התקפה זו משתמשת ביציאה 445 ואם לא מתאפשרת תקשורת דרך אותה יציאה, ההתקפה לא תצליח. אם אתה זקוק ליציאה 445 למטרות אחרות, עליך לנטר את כל התעבורה ביציאה זו ולחסום כל דבר שעובר לכתובת IP חיצונית.
- הוסף את כל המשתמשים לקבוצת אבטחת המשתמשים המוגנים. כל משתמש בקבוצה זו אינו יכול להשתמש ב-NTLM כשיטת אימות. חשוב לציין שהדבר עלול גם להפריע לכל יישומים המסתמכים על NTLM.
- בקש מכל המשתמשים להשבית את הגדרת הצג תזכורות ב-Outlook. זה עשוי למנוע מהתוקף לגשת לאישורי NTLM.
- בקש מכל המשתמשים להשבית את שירות WebClient. חשוב לציין שזה ימנע את כל חיבורי WebDev כולל דרך אינטראנט ולכן אינו בהכרח אפשרות מתאימה.
עליך לבצע תיקון נגד הפגיעות של CVE-2023-23397
הפגיעות של CVE-2023-23397 משמעותית בגלל הפופולריות של Outlook וכמות הגישה שהוא מספק לתוקף. מתקפה מוצלחת מאפשרת לתוקף הסייבר לקבל גישה לחשבון של הקורבן אשר ניתן להשתמש בו כדי לגנוב או להצפין נתונים.
הדרך היחידה להגן כראוי מפני התקפה זו היא לעדכן את תוכנת אאוטלוק עם התיקון הדרוש שמיקרוסופט הפכה לזמין. כל עסק שלא מצליח לעשות זאת הוא יעד אטרקטיבי להאקרים.