W dniu dzisiejszym opublikowany został komunikat Pełnomocnika Rządu ds. Cyberbezpieczeństwa dotyczący luki bezpieczeństwa w popularnym narzędziu do obsługi poczty. Zalecamy podjęcie natychmiastowych działań przez administratorów wszystkich organizacji, których użytkownicy korzystają z poczty poprzez klienta Microsoft Outlook.
Zważywszy na niezwykłą popularność tego narzędzia, specjaliści polecają szczególną uwagę, gdyż:
- Może ona prowadzić do zdalnego przejęcia konta, bez udziału użytkownika.
- Podatność była aktywnie używana w atakach przeprowadzanych przez jedną z grup powiązanych z rosyjskim rządem od kwietnia 2022 roku, w tym także w Polsce.
Na czym polega atak przy użyciu CVE-2023-23397
Podatność pozwala na przejęcie kontroli nad kontem użytkownika na dwa sposoby. Jedna metoda pozwala odzyskać hasło poprzez atak słownikowy, czyli taki, który wykorzystuje metodę prób i błędów w celu odkrycia danych logowania. Przeprowadzenie takiego ataku jest łatwiejsze, gdy mamy krótkie hasło – ilość kombinacji do sprawdzenia jest wtedy zwyczajnie mniejsza. Druga metoda pozwala na bezpośrednie użycie sesji użytkownika do zalogowania w innych usługach organizacji.
Do przeprowadzenia ataku wystarczy otrzymanie przez ofiarę odpowiedniej wiadomości e-mail. Nie jest wymagane żadne działanie użytkownika. Atak może zostać przeprowadzony zdalnie. Pozyskane hasło domenowe może być użyte do logowania do innych dostępnych publicznie usług firmowych. Jeśli nie jest wykorzystywane uwierzytelnianie dwuskładnikowe, może to doprowadzić do uzyskania przez atakującego dostępu do sieci firmowej.
Obrona przed atakiem przy użyciu CVE-2023-23397?
Na atak przy użyciu CVE-2023-23397 podatne są wszystkie wersje Microsoft Outlook działające na platformie Windows. Co ważne, bezpieczne są wersje na platformy Android, iOS, czy macOS oraz usługi chmurowe Microsoft 365.
Pierwszym krokiem, który powinni podjąć administratorzy to aktualizacja aplikacji zgodnie z wytycznymi na dedykowanej stronie: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397.
Rekomendujemy również zapoznanie się z rekomendacjami przygotowanymi przez zespół CERT Polska i dostępnych tutaj: Aktywnie wykorzystywana krytyczna podatność w Microsoft Outlook (CVE-2023-23397) | CERT Polska
Warto też przypomnieć, że stosowanie silnych haseł znacząco utrudni wykorzystanie podatności przez cyberprzestępców. Dodatkowym krokiem zabezpieczającym jest stosowanie uwierzytelniania dwuskładnikowego.
Jak sprawdzić czy zostaliśmy zaatakowani?
Firma Microsoft udostępniła narzędzie, dzięki któremu organizacje mogą sprawdzić czy jej użytkownicy otrzymali wiadomości umożliwiające wykorzystanie podatności. Jest ono dostępne dla administratorów tutaj:
Wystarczy uruchomić skrypt w trybie audytu.
Dla organizacji z dużą ilością skrzynek zalecane jest rozbicie listy skrzynek na wiele plików, dzięki czemu skrypt może być uruchamiany w partiach, przykładowo:
$batchSize = 1000; $batchNumber = 1; $count = 0; Get-Mailbox -ResultSize Unlimited | Select PrimarySmtpAddress | % {
if ($count++ -ge $batchSize) { $batchNumber++; $count = 0; }
Export-Csv -InputObject $_ -Path "Batch$batchNumber.csv" -Append
}
# Then run against the batches similar to this:
Import-Csv .\BatchFileName.csv | .\CVE-2023-23397.ps1 -Environment OnlineJeśli wykonanie skryptu zakończy się komunikatem “No vulnerable item found”, nie są wymagane żadne dalsze działania.
Jeśli skrypt wygeneruje pliki CSV, przejrzyj je i jeśli znajdziesz podejrzane rzeczy, konieczne będzie rozpoczęcie procedury obsługi incydentu oraz skontaktowanie się z właściwym zespołem CSIRT.
źródło: komunikat prasowy gov.pl
