Dette passordhakket betyr at arbeidsgiveren din må lappe Microsoft Outlook i dag

Hackere leter stadig etter nye måter å infiltrere sikre nettverk på. Dette er en vanskelig utfordring fordi alle ansvarlige virksomheter investerer i sikkerhet. En metode som imidlertid alltid vil være effektiv, er bruken av nye sårbarheter i populære programvareprodukter.

En sårbarhet ble nylig oppdaget i Outlook som lar hackere stjele passord ved å sende en e-post til kontoinnehaveren. En oppdatering har blitt utgitt, men mange bedrifter har ennå ikke oppdatert versjonen av Outlook.

Så hva er denne sårbarheten, og hvordan kan bedrifter forsvare seg mot den?

Hva er CVE-2023-23397-sårbarheten?

CVE-2023-23397-sårbarheten er et sikkerhetsproblem med rettighetseskalering som påvirker Microsoft Outlook som kjører på Windows.

Denne sårbarheten antas å ha blitt brukt fra april til desember 2022 av nasjonalstatsaktører mot en lang rekke bransjer. En oppdatering ble utgitt i mars 2023.

Mens utgivelsen av en oppdatering betyr at organisasjoner enkelt kan forsvare seg mot den, betyr det faktum at den nå blir kraftig publisert at risikoen for virksomheter som ikke lapper har økt.

Det er ikke uvanlig at sårbarheter brukt av nasjonalstater i utgangspunktet blir brukt mye av individuelle hackere og hackergrupper når tilgjengeligheten er kjent.

Hvem er målrettet av Microsoft Outlook-sårbarheten?

CVE-2023-23397-sårbarheten er bare effektiv mot Outlook som kjører på Windows. Android-, Apple- og nettbrukere påvirkes ikke og trenger ikke å oppdatere programvaren.

Det er usannsynlig at privatpersoner blir målrettet fordi det ikke er like lønnsomt å gjøre det som å målrette mot en bedrift. Hvis en privatperson bruker Outlook for Windows, bør de likevel oppdatere programvaren.

Bedrifter er sannsynligvis det primære målet fordi mange bruker Outlook for Windows for å beskytte viktige data. Enkelheten som angrepet kan utføres med, og antallet virksomheter som bruker programvaren, gjør at sårbarheten sannsynligvis vil vise seg å være populær blant hackere.

Hvordan fungerer sårbarheten?

Dette angrepet bruker en e-post med spesifikke egenskaper som får Microsoft Outlook til å avsløre offerets NTLM-hash. NTLM står for New Technology LAN Master og denne hashen kan brukes for autentisering til offerets konto.

E-posten henter hashen ved å bruke en utvidet MAPI (Microsoft Outlook Messaging Application Programming Interface) egenskap som inneholder banen til en servermeldingsblokkandel som kontrolleres av angriper.

Når Outlook mottar denne e-posten, prøver den å autentisere seg til SMB-andelen ved å bruke NTLM-hashen. Hackeren som har kontroll over SMB-andelen kan da få tilgang til hashen.

Hvorfor er Outlook-sårbarheten så effektiv?

CVE-2023-23397 er en effektiv sårbarhet av flere årsaker:

• Outlook brukes av et bredt spekter av virksomheter. Dette gjør det attraktivt for hackere.
• CVE-2023-23397-sårbarheten er enkel å bruke og krever ikke mye teknisk kunnskap å implementere.
• CVE-2023-23397-sårbarheten er vanskelig å forsvare seg mot. De fleste e-postbaserte angrep krever at mottakeren samhandler med e-posten. Denne sårbarheten er effektiv uten interaksjon. På grunn av dette, utdanne ansatte om phishing-e-poster eller å fortelle dem om ikke å laste ned e-postvedlegg (dvs. de tradisjonelle metodene for å unngå ondsinnede e-poster) har ingen effekt.
• Dette angrepet bruker ingen type skadelig programvare. På grunn av dette vil det ikke bli plukket opp av sikkerhetsprogramvare.

Hva skjer med ofre for denne sårbarheten?

CVE-2023-23397-sårbarheten lar en angriper få tilgang til offerets konto. Utfallet avhenger derfor av hva offeret har tilgang til. Angriperen kan stjele data eller starte et løsepenge-angrep.

Hvis offeret har tilgang til private data, kan angriperen stjele dem. Når det gjelder kundeinformasjon, den kan selges på det mørke nettet. Dette er ikke bare problematisk for kundene, men også for virksomhetens omdømme.

Angriperen kan også være i stand til å kryptere privat eller viktig informasjon ved hjelp av løsepengeprogramvare. Etter et vellykket løsepengeangrep er all data utilgjengelig med mindre virksomheten betaler angriperen en løsepengebetaling (og selv da kan nettkriminelle bestemme seg for ikke å dekryptere dataene).

Slik sjekker du om du er berørt av sikkerhetsproblemet CVE-2023-23397

Hvis du tror at virksomheten din allerede kan ha blitt berørt av dette sikkerhetsproblemet, kan du sjekke systemet automatisk ved hjelp av et PowerShell-skript fra Microsoft. Dette skriptet søker i filene dine og ser etter parametere som brukes i dette angrepet. Etter å ha funnet dem, kan du slette dem fra systemet ditt. Manuset er tilgjengelig via Microsoft.

Slik beskytter du deg mot denne sårbarheten

Den optimale måten å beskytte seg mot dette sikkerhetsproblemet på er å oppdatere all Outlook-programvare. Microsoft ga ut en patch 14. mars 2023, og når den er installert, vil alle forsøk på dette angrepet være ineffektive.

Selv om oppdatering av programvare bør være en prioritet for alle virksomheter, hvis dette av en eller annen grunn ikke kan oppnås, er det andre måter å forhindre at dette angrepet blir vellykket. De inkluderer:

• Blokker TCP 445 utgående. Dette angrepet bruker port 445, og hvis ingen kommunikasjon er mulig via den porten, vil angrepet være mislykket. Hvis du trenger port 445 til andre formål, bør du overvåke all trafikk over den porten og blokkere alt som går til en ekstern IP-adresse.
• Legg til alle brukere i den beskyttede brukersikkerhetsgruppen. Enhver bruker i denne gruppen kan ikke bruke NTLM som en autentiseringsmetode. Det er viktig å merke seg at dette også kan forstyrre alle applikasjoner som er avhengige av NTLM.
• Be om at alle brukere deaktiverer Vis påminnelser-innstillingen i Outlook. Dette kan forhindre at angriperen får tilgang til NTLM-legitimasjon.
• Be om at alle brukere deaktiverer WebClient-tjenesten. Det er viktig å merke seg at dette vil forhindre alle WebDev-tilkoblinger inkludert over intranett og er derfor ikke nødvendigvis et passende alternativ.

Du må korrigere sikkerhetsproblemet CVE-2023-23397

CVE-2023-23397-sårbarheten er betydelig på grunn av populariteten til Outlook og mengden tilgang det gir en angriper. Et vellykket angrep lar nettangriperen få tilgang til offerets konto som kan brukes til å stjele eller kryptere data.

Den eneste måten å beskytte mot dette angrepet på er å oppdatere Outlook-programvaren med den nødvendige oppdateringen som Microsoft har gjort tilgjengelig. Enhver virksomhet som ikke klarer det, er et attraktivt mål for hackere.