Skoči na vsebino

SI-CERT 2023-01 / Uhajanje NTLM poverilnic preko Outlook ranljivosti

Obljavljeno: 15.3.2023

Povzetek

Microsoft je zaznal aktivno izkoriščanje ranljivosti CVE-2023-23397, ki napadalcu prek poštnega sporočila naslovljenega prejemniku, ki uporablja Outlook, omogoča krajo NTLM zgoščene vrednosti prejemnikovega gesla za prijavo v Windows. Slednjo lahko napadalec poizkuša razbiti in na ta način pridobi geslo v čistopisu. Microsoft je izrabo ranljivosti zaznal v omejenem številu napadov na organizacije iz vladnega, energetskega in vojaškega sektorja v Evropi, izvedbo napadov pa pripisuje napadalcem iz Rusije. Vsem uporabnikom Microsoft Outlook priporočamo čimprejšnjo namestitev popravkov.

Opis

Ranljivost v Outlooku napadalcu omogoča, da preko posebej pripravljenega sporočila, ki ga naslovi na elektronski naslov žrtve, naslovniku ukrade NTLM poverilnice v zgoščeni obliki. Iz slednje lahko napadalec poizkusi pridobiti geslo v čistopisni obliki ali pa jo neposredno uporabi za avtentikacijo na drugem sistemu, ki podpira NTLM avtentikacijo. Ranljivost in kraja poverilnic se lahko izvedeta brez uporabnikove vednosti oz. interakcije.

Ranljive različice

Ranljive so vse različice Microsoft Outlook za Windows. Različice Microsoft Outlook za Android, iOS, macOS in O365 niso prizadete, saj ne podpirajo NTLM načina avtentikacije.

Ukrepi

Vsem uporabnikom Microsoft Outlook svetujemo čimprejšnjo posodobitev na zadnjo različico produkta. V primeru zaznave izrabe ranljivosti priporočamo preventivno menjavo Windows gesel prizadetih uporabnikov. Če so uporabniki uporabljali isto geslo tudi za druge storitve, je potrebno geslo zamenjati tudi tam.

Zaznavanje izrabe ranljivosti

Vsem organizacijam priporočamo preverjanje znakov izkoriščanja ranljivosti po navodilih Microsofta.

V primeru zaznave izrabe ranljivosti priporočamo zamenjavo gesel vsem prizadetim uporabnikom.

Zaznane poskuse izkoriščanja ranljivosti sporočite na SI-CERT.

Zunanje povezave

Preberite tudi

SI-CERT 2023-05 / Ranljivost Ivanti Endpoint Manager Mobile (MobileIron)

Ranljivost CVE-2023-35078 Endpoint Manager Mobile (EPMM, prej MobileIron Core) za upravljanje mobilnih naprav podjetja Ivanti omogoča oddaljeni zagon poljubne kode na ranljivem sistemu (RCE, Remote Code Execution). Ranljivost ima najvišjo oceno CVSS (10.0) in se že izrablja v kibernetskih napadih. Skrbnikom svetujemo takojšnjo nadgradnjo.
Več

SI-CERT 2023-04 / Ranljivosti Citrix/NetScaler ADC in Gateway

Ranljivost CVE-2023-3519 neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Posodobitve odpravljajo ranljivost, ta naj bi se že izrabljala v posameznih napadih.
Več

SI-CERT 2023-03 / Ranljivost FortiOS in FortiProxy

Ranljivost CVE-2023-27997 neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Posodobitve odpravljajo ranljivost, ta naj bi se že izrabljala v posameznih napadih.
Več