Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Lỗ hổng Microsoft Outlook có thể là lỗi 'It' của năm 2023

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 192

Gần đây, Microsoft đã vá một lỗ hổng zero-day đang được khai thác tích cực trong Microsoft Outlook, được xác định là CVE-2023-23397, lỗ hổng này có thể cho phép kẻ tấn công thực hiện leo thang đặc quyền, truy cập hàm băm xác thực phản hồi thử thách Net-NTLMv2 của nạn nhân và mạo danh người dùng.

Bây giờ nó trở nên rõ ràng rằng CVE-2023-23397 đủ nguy hiểm để trở thành lỗi có ảnh hưởng sâu rộng nhất trong năm, các nhà nghiên cứu bảo mật cảnh báo. Kể từ khi tiết lộ chỉ ba ngày trước, nhiều khai thác bằng chứng khái niệm (PoC) hơn đã xuất hiện tại hiện trường, điều này chắc chắn sẽ chuyển thành lợi ích tội phạm ném tuyết - được hỗ trợ bởi thực tế là không cần tương tác người dùng để khai thác.

Nếu không thể vá lỗi nhanh chóng, có một số tùy chọn để giải quyết vấn đề, được lưu ý bên dưới.

Khai thác dễ dàng: Không cần tương tác người dùng

Lỗ hổng bảo mật cho phép kẻ tấn công đánh cắp mã băm xác thực NTLM bằng cách gửi các ghi chú hoặc tác vụ Outlook độc hại cho nạn nhân. Chúng tự động kích hoạt khai thác khi chúng được ứng dụng khách Outlook truy xuất và xử lý, điều này có thể dẫn đến khai thác trước khi email được xem trong Ngăn xem trước. Nói cách khác, một mục tiêu không thực sự phải mở email để trở thành nạn nhân của một cuộc tấn công.

Được phát hiện bởi các nhà nghiên cứu từ Nhóm Ứng phó Khẩn cấp Máy tính (CERT) của Ukraine và bởi một trong những nhà nghiên cứu của chính Microsoft — và được vá vào đầu tuần này như một phần của bản cập nhật Bản vá Thứ Ba của Microsoft — lỗi này ảnh hưởng đến những người đang chạy máy chủ Exchange và ứng dụng khách máy tính để bàn Outlook cho Windows. Outlook for Android, iOS, Mac và Outlook for Web (OWA) không bị ảnh hưởng.

Mark Stamford, người sáng lập và Giám đốc điều hành của OccamSec cho biết: “Những kẻ tấn công bên ngoài có thể gửi các email được chế tạo đặc biệt sẽ tạo ra kết nối từ nạn nhân đến một vị trí UNC bên ngoài nằm trong tầm kiểm soát của những kẻ tấn công. Ông giải thích rằng điều này sẽ làm rò rỉ hàm băm Net-NTLMv2 của nạn nhân cho kẻ tấn công, kẻ sau đó có thể chuyển tiếp mã này đến một dịch vụ khác và xác thực là nạn nhân.

Một loạt các tác động khai thác tiềm năng

Nick Ascoli, người sáng lập và Giám đốc điều hành của Foretrace, chỉ ra rằng mặc dù Microsoft không đề cập đến cách bọn tội phạm sử dụng nó trong các cuộc tấn công của chúng, nhưng nó cho phép sử dụng lại xác thực bị đánh cắp để kết nối với các máy tính khác qua mạng để di chuyển ngang.

Ông nói: “Phạm vi của các cuộc tấn công có thể đi từ đánh cắp dữ liệu đến khả năng cài đặt phần mềm độc hại, tùy thuộc vào quyền của nạn nhân.

Bud Broomhead, Giám đốc điều hành tại Viakoo, lưu ý rằng “những nạn nhân có khả năng là những người dễ bị xâm phạm email doanh nghiệp (BEC) nhất và bị sử dụng danh tính của họ cho các hình thức khai thác khác.” Ông chỉ ra rằng có một số lĩnh vực mà điều này có khả năng ảnh hưởng, nghiêm trọng nhất là quản lý danh tính và độ tin cậy của các liên lạc email nội bộ.

Broomhead cảnh báo: “Các rủi ro cũng bao gồm vi phạm hệ thống CNTT cốt lõi, phân phối phần mềm độc hại, thỏa hiệp email doanh nghiệp để thu lợi tài chính và gián đoạn hoạt động kinh doanh cũng như tính liên tục của doanh nghiệp”.

Đây có phải là Lỗi "Nó" của năm 2023 không?

Viakoo's Broomhead nói rằng mặc dù tại thời điểm này của năm 2023, có thể có nhiều lỗi "It" đến từ Microsoft, nhưng đây chắc chắn là một đối thủ.

Ông giải thích: “Bởi vì nó tác động đến các tổ chức thuộc mọi loại hình và quy mô, có các phương pháp giảm thiểu đột phá và việc đào tạo nhân viên về vấn đề này sẽ không ngăn chặn được, nên đây có thể là một lỗ hổng đòi hỏi nhiều nỗ lực hơn để giảm thiểu và khắc phục”.

Ông lưu ý rằng bề mặt tấn công ít nhất cũng lớn bằng cơ sở người dùng của Outlook trên máy tính để bàn (khổng lồ) và các hệ thống CNTT cốt lõi có khả năng được kết nối với Windows 365 (rất lớn) và thậm chí bất kỳ người nhận email nào được gửi qua Outlook (gần như tất cả mọi người).

Sau đó, như đã đề cập, các PoC đang lưu hành khiến tình hình càng trở nên hấp dẫn hơn đối với tội phạm mạng.

Daniel Hofmann, Giám đốc điều hành của Hornetsecurity cho biết thêm: “Do lỗ hổng bảo mật được công khai và các hướng dẫn về bằng chứng khái niệm hiện đã được ghi lại đầy đủ, nên các tác nhân đe dọa khác có thể áp dụng lỗ hổng này trong các chiến dịch phần mềm độc hại và nhắm mục tiêu đến nhiều đối tượng hơn”. “Nhìn chung, việc khai thác lỗ hổng rất đơn giản và bằng chứng công khai về khái niệm đã có thể được tìm thấy trên GitHub và các diễn đàn mở khác.”

Doanh nghiệp nên làm gì? Broomhead cảnh báo: “Việc giảm thiểu trong trường hợp này rất khó, vì nó gây ra sự gián đoạn trong cách cấu hình hệ thống email và người dùng trong đó.”

Cách bảo vệ chống lại CVE-2023-23397

Đối với những người không thể vá ngay lập tức, Hofmann của Hornetsecurity nói rằng để bảo vệ tổ chức tốt hơn, quản trị viên nên chặn lưu lượng TCP 445/SMB gửi ra Internet từ mạng bằng cách sử dụng tường lửa vành đai, tường lửa cục bộ và cài đặt VPN.

Ông giải thích: “Hành động này ngăn việc truyền các thông báo xác thực NTLM đến các tệp chia sẻ từ xa, giúp xử lý CVE-2023-23397.

Các tổ chức cũng nên thêm người dùng vào “Nhóm bảo mật người dùng được bảo vệ” trong active Directory để ngăn NTLM làm cơ chế xác thực.

“Cách tiếp cận này đơn giản hóa việc khắc phục sự cố so với các phương pháp vô hiệu hóa NTLM khác,” Broomhead nói. “Nó đặc biệt hữu ích cho các tài khoản có giá trị cao, chẳng hạn như quản trị viên miền.”

Ông chỉ ra Microsoft đã cung cấp một kịch bản để xác định và dọn sạch hoặc loại bỏ các thư Exchange có đường dẫn UNC trong thuộc tính thư và nó khuyên quản trị viên áp dụng tập lệnh để xác định xem họ có bị ảnh hưởng bởi lỗ hổng bảo mật hay không và khắc phục lỗ hổng đó.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.