Skoči na vsebino

SI-CERT 2023-01 / Uhajanje NTLM poverilnic preko Outlook ranljivosti

Obljavljeno: 15.3.2023

Povzetek

Microsoft je zaznal aktivno izkoriščanje ranljivosti CVE-2023-23397, ki napadalcu prek poštnega sporočila naslovljenega prejemniku, ki uporablja Outlook, omogoča krajo NTLM zgoščene vrednosti prejemnikovega gesla za prijavo v Windows. Slednjo lahko napadalec poizkuša razbiti in na ta način pridobi geslo v čistopisu. Microsoft je izrabo ranljivosti zaznal v omejenem številu napadov na organizacije iz vladnega, energetskega in vojaškega sektorja v Evropi, izvedbo napadov pa pripisuje napadalcem iz Rusije. Vsem uporabnikom Microsoft Outlook priporočamo čimprejšnjo namestitev popravkov.

Opis

Ranljivost v Outlooku napadalcu omogoča, da preko posebej pripravljenega sporočila, ki ga naslovi na elektronski naslov žrtve, naslovniku ukrade NTLM poverilnice v zgoščeni obliki. Iz slednje lahko napadalec poizkusi pridobiti geslo v čistopisni obliki ali pa jo neposredno uporabi za avtentikacijo na drugem sistemu, ki podpira NTLM avtentikacijo. Ranljivost in kraja poverilnic se lahko izvedeta brez uporabnikove vednosti oz. interakcije.

Ranljive različice

Ranljive so vse različice Microsoft Outlook za Windows. Različice Microsoft Outlook za Android, iOS, macOS in O365 niso prizadete, saj ne podpirajo NTLM načina avtentikacije.

Ukrepi

Vsem uporabnikom Microsoft Outlook svetujemo čimprejšnjo posodobitev na zadnjo različico produkta. V primeru zaznave izrabe ranljivosti priporočamo preventivno menjavo Windows gesel prizadetih uporabnikov. Če so uporabniki uporabljali isto geslo tudi za druge storitve, je potrebno geslo zamenjati tudi tam.

Zaznavanje izrabe ranljivosti

Vsem organizacijam priporočamo preverjanje znakov izkoriščanja ranljivosti po navodilih Microsofta.

V primeru zaznave izrabe ranljivosti priporočamo zamenjavo gesel vsem prizadetim uporabnikom.

Zaznane poskuse izkoriščanja ranljivosti sporočite na SI-CERT.

Zunanje povezave

Preberite tudi

SI-CERT 2024-02 / Kritične ranljivosti v FortiOS

Fortinet je 8.2.2024 izdal obvestili o dveh kritičnih ranljivostih CVE-2024-21762 in CVE-2024-23113 sistema FortiOS sslvpnd in fgfmd.
Več

SI-CERT 2024-01 / Ranljivosti Ivanti Connect Secure VPN

Ivanti je obvestil o dveh 0-day ranljivostih v Ivanti Connect Secure VPN (v preteklosti Ivanti Pulse Secure). Izraba verige ranljivosti omogoča neavtenticiranemu uporabniku izvajanje poljubnih ukazov na sistemu.
Več

SI-CERT 2023-06 / Zlorabe Cisco IOS XE naprav

Cisco IOS XE naprave, ki imajo dostopen spletni vmesnik (Web UI) so ranljive in omogočajo storilcem zagon poljubne kode na njih. Ranljivost se trenutno aktivno izkorišča.
Več