Kritiska Microsoft Outlook ievainojamība (CVE-2023-23397) Windows sistēmām
Otrdien, 14.martā, Microsoft publicējis atjauninājumus un instrukcijas vairākām nopietnām ievainojamībām. To vidū ir arī kritiska Microsoft Outlook “nulles dienas” ievainojamība (CVE-2023-23397), kas kopš pagājušā gada tiek aktīvi izmantota arī no Krievijas APT grupējumu puses.
Ievainojamību pērn atklājusi Ukrainas CERT komanda (CERT-UA), analizējot Krievijas APT grupējumu uzbrukumus Ukrainas resursiem. Saskaņā ar Microsoft rīcībā esošo informāciju, minētā ievainojamība izmantota arī uzbrukumos pret vairākām organizācijām Eiropā, to vidū ir arī valsts iestādes un kritiskās infrastruktūras resursi.
CVE-2023-23397 ievainojamību var izsaukt, nosūtot Outlook lietotājam specifiski veidotu e-pastu. Uzbrucējs šādā veidā var izgūt lietotāja paroles Net-NTLMv2 jaucējvērtību (hash), kura var tikt izmantota tālākos uzbrukumos. Lietotāja iesaiste uzbrukuma procesā nav nepieciešama jeb uzbrukums var būt veiksmīgs arī lietotājam inficēto e-pastu neatverot.
Ievainojamība skar visas Microsoft atbalstītās Outlook versijas, kas darbojas uz Windows, bet neskar Outlook versijas, kas paredzētas Mac, iOS un Android operētājsistēmām, kā arī neskar Outlook web versiju.
Ieteicamie risinājumi:
- CERT.LV aicina pēc iespējas ātrāk uzstādīt Microsoft sagatavotos atjauninājumus šīs ievainojamības novēršanai: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
- Ja tas nav iespējams, tad kā pagaidu risinājumu iesakām bloķēt TCP 445/SMB tīkla plūsmu virzienā uz āru no lokālā tīkla.
- Iesakām arī periodiski palaist Microsoft izstrādāto skriptu, lai atklātu potenciāli ļaundabīgus Outlook vienumus (e-pastu, kalendāru un uzdevumus). Vairāk: https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
Neskaidrību vai jautājumu gadījumā, kā arī, ja esat identificējuši sevi kā aprakstītā uzbrukuma mērķi, aicinām rakstīt uz cert.
Plašāka informācija pieejama šeit:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
https://www.cyber.gc.ca/en/alerts-advisories/microsoft-outlook-zero-day-vulnerability-allowing-ntlm-credential-theft#fn9
https://www.bleepingcomputer.com/news/security/critical-microsoft-outlook-bug-poc-shows-how-easy-it-is-to-exploit/