27 martie 2024, 4:44

Alertă de securitate: Vulnerabilitate critică în Microsoft Outlook

În data de 14 martie 2023, în cadrul programului ‘Patch Tuesday’ din luna martie, Microsoft a lansat actualizări pentru numeroase vulnerabilități, inclusiv unele anterior identificate ca fiind „critice” în conformitate cu Sistemul comun de evaluare a vulnerabilităților (Common Vulnerability Scoring – CVSS), cu valori de 9,0 sau mai mari.

Microsoft include în această ediție a actualizărilor din luna martie și un patch pentru „Microsoft Outlook Elevation of Privilege Vulnerability” –  vulnerabilitatea CVE-2023-23397 (scor CVSS 9.1) – pentru care se menționează că are loc deja o exploatare activă.

Potrivit acesteia, atacatorii ar putea utiliza o adresă de e-mail manipulată pentru a exploata hash-urile Net-NTLMv2. Atacul are loc în timpul de procesare a mesajului de pe serverul de e-mail și nu este necesară nicio acțiune din partea destinatarului, anunță DNSC.

Impact

Sunt afectate toate versiunile Outlook pentru Windows, iar informații suplimentare pot fi găsite în articolul publicat recent pe site-ul web al producătorului.

Pentru că sunt utilizate la scară largă, aceste soluții sunt ținte atractive pentru atacurile cibernetice. Chiar dacă producătorul nu oferă încă informații detaliate în momentul de față, în special în ceea ce privește exploatarea vulnerabilității de escaladare a privilegiilor Outlook (CVE-2023-23397), nu se poate exclude faptul că vulnerabilitatea ar fi deja exploatată în diferite atacuri.

Remediere

Ofițerii de securitate IT trebuie să verifice instalarea promptă a patch-urilor publicate. În plus, se recomandă cu insistență verificarea actualizărilor pe termen scurt. Deși nu se cunosc public până în acest moment cazuri de atacuri care au exploatat cu succes vulnerabilitatea, totuși producătorul presupune că există o probabilitate ridicată ca acestea să aibă loc.

Potrivit Microsoft, atacatorii pot utiliza hash-urile Net-NTLMv2, exploatate prin CVE-2023-23397, pentru atacuri de tip NTLM relay. Atacurile de retransmisie NTLM pot fi efectuate, printre altele, prin activarea unor metode stricte SMB și semnarea LDAP, protecția extinsă pentru autentificare (EPA) sau, în mod ideal, dezactivarea completă a autentificării NTLM.

Pentru a investiga dacă un atac a avut deja loc pe sistemele proprii, Microsoft pune la dispoziție un script a pentru a verifica dacă există indicii referitoare la un atac care să exploateze vulnerabilitatea în cauză.

Indiferent de aplicarea sau nu a patch-urilor, administratorii infrastructurilor IT ar trebui să verifice, de asemenea, dacă utilizarea de NTLM(v2) este încă necesară sau dacă este posibilă trecerea la Kerberos în viitorul apropiat, care prezintă unele avantaje în ceea ce privește securitatea.

Amenințarea unui atac de retransmitere NTLM este prevenit mai ales când se utilizează AD DS și recomandările Microsoft.


ARTICOLE ASEMĂNĂTOARE

Comentariile sunt oprite pentru acest articol