Skoči na vsebino

SI-CERT 2023-01 / Uhajanje NTLM poverilnic preko Outlook ranljivosti

Obljavljeno: 15.3.2023

Povzetek

Microsoft je zaznal aktivno izkoriščanje ranljivosti CVE-2023-23397, ki napadalcu prek poštnega sporočila naslovljenega prejemniku, ki uporablja Outlook, omogoča krajo NTLM zgoščene vrednosti prejemnikovega gesla za prijavo v Windows. Slednjo lahko napadalec poizkuša razbiti in na ta način pridobi geslo v čistopisu. Microsoft je izrabo ranljivosti zaznal v omejenem številu napadov na organizacije iz vladnega, energetskega in vojaškega sektorja v Evropi, izvedbo napadov pa pripisuje napadalcem iz Rusije. Vsem uporabnikom Microsoft Outlook priporočamo čimprejšnjo namestitev popravkov.

Opis

Ranljivost v Outlooku napadalcu omogoča, da preko posebej pripravljenega sporočila, ki ga naslovi na elektronski naslov žrtve, naslovniku ukrade NTLM poverilnice v zgoščeni obliki. Iz slednje lahko napadalec poizkusi pridobiti geslo v čistopisni obliki ali pa jo neposredno uporabi za avtentikacijo na drugem sistemu, ki podpira NTLM avtentikacijo. Ranljivost in kraja poverilnic se lahko izvedeta brez uporabnikove vednosti oz. interakcije.

Ranljive različice

Ranljive so vse različice Microsoft Outlook za Windows. Različice Microsoft Outlook za Android, iOS, macOS in O365 niso prizadete, saj ne podpirajo NTLM načina avtentikacije.

Ukrepi

Vsem uporabnikom Microsoft Outlook svetujemo čimprejšnjo posodobitev na zadnjo različico produkta. V primeru zaznave izrabe ranljivosti priporočamo preventivno menjavo Windows gesel prizadetih uporabnikov. Če so uporabniki uporabljali isto geslo tudi za druge storitve, je potrebno geslo zamenjati tudi tam.

Zaznavanje izrabe ranljivosti

Vsem organizacijam priporočamo preverjanje znakov izkoriščanja ranljivosti po navodilih Microsofta.

V primeru zaznave izrabe ranljivosti priporočamo zamenjavo gesel vsem prizadetim uporabnikom.

Zaznane poskuse izkoriščanja ranljivosti sporočite na SI-CERT.

Zunanje povezave

Preberite tudi

SI-CERT 2023-02 / Zloraba dobavne verige: 3CX Electron DesktopApp

Povzetek Podjetje 3CX je izdalo varnostno opozorilo za aplikacijo 3CX Electron DesktopApp. Gre za programski telefon (softphone), katerega zlorabo so podrobneje raziskali in potrdili tudi pri podjetjih SentielOne in CrowdStrike. Gre …
Več

SI-CERT 2022-07 / Ranljivost Citrix ADC in Citrix Gateway

Objavljeno: 14.12.2022 Povzetek Citrix Gateway in Citrix ADC (Application Delivery Controller) vsebujeta kritično ranljivost, ki neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Uradni popravki so že na voljo. Ranljivost se …
Več

SI-CERT 2022-06 / Ranljivost FortiOS SSL-VPN

Fortinet je izdal obvestilo o ranljivosti FortiOS SSL-VPN, ki neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Popravki za ranljivost so bili izdani že v novembru 2022, ranljivost pa se je že izrabljala v napadih.
Več