Um laboratório de segurança descobriu uma vulnerabilidade séria no Microsoft Outlook visando empresas governamentais, militares, de energia e transporte europeias está sendo usado. A vulnerabilidade tem a designação CVE-2023-23397 e está classificada de acordo com o Common Vulnerability Scoring System (CVSS) com um valor de 9.8. O BSI também diz: O ataque ocorre antes que o e-mail seja aberto ou antes de ser exibido na janela de visualização - nenhuma ação do destinatário é necessária!
A vulnerabilidade permite que um invasor não autorizado comprometa os sistemas com um e-mail especialmente criado. Este e-mail malicioso dá a ele acesso não autorizado às credenciais do destinatário.
Os ataques vão aumentar
“Agora que as primeiras provas de conceito já foram publicadas, pode-se supor que os ataques à vulnerabilidade CVE-2023-23397 aumentarão”, explica Umut Alemdar, chefe do laboratório de segurança da Hornetsecurity. "Portanto, recomendamos que todos os usuários do Microsoft Outlook instalem os patches de segurança fornecidos pela Microsoft o mais rápido possível."
Graças ao Advanced Thread Protection (ATP), o moderno sistema de segurança do Hornetsecurity é capaz de colocar em quarentena os e-mails que desejam explorar essa vulnerabilidade. “Isso evita que os e-mails cheguem à caixa de entrada da vítima”, continua Alemdar. “Graças à ATP, nossos clientes já estão protegidos desse perigo. Além disso, o Laboratório de Segurança da Hornetsecurity estabeleceu a tarefa de monitorar o cenário de ameaças com olhos de águia, a fim de continuar a garantir aos nossos clientes a melhor proteção possível contra as mais recentes ameaças cibernéticas".
Ataque antes da visualização
A vulnerabilidade do Outlook já foi iniciada pelo cliente Outlook recuperando e processando um e-mail mal-intencionado. Assim, um ataque pode ocorrer mesmo antes de o e-mail ser exibido na janela de visualização. O atacante direciona sua vítima para um ambiente que ele controla. Isso resulta no vazamento do hash Net-NTLMv2 da vítima, um protocolo de desafio-resposta usado para autenticação em ambientes Windows. O invasor pode passar essas informações para outro serviço, autenticando-se como vítima e comprometendo ainda mais o sistema.
O ataque acaba sendo menos complexo e, segundo a Microsoft, já foi observado na prática. A vulnerabilidade foi usada para atacar governos europeus, militares, empresas de energia e transporte. A Microsoft foi notificada pela primeira vez sobre o CVE-2023-233397 pelo CERT-UA (Computer Emergency Response Team for Ukraine). Uma prova de conceito criada pela equipe do Laboratório de Segurança do Hornetsecurity mostra que o ataque é particularmente difícil de detectar: todos os serviços anti-malware e sandbox incluídos no VirusTotal falharam em classificá-lo como perigoso.
Mais em Hornetsecurity.com
Sobre o Hornet Security A Hornetsecurity é a provedora de segurança em nuvem alemã líder na Europa para e-mail e protege a infraestrutura de TI, a comunicação digital e os dados de empresas e organizações de todos os tamanhos. O especialista em segurança de Hanover fornece seus serviços por meio de 10 data centers protegidos de forma redundante em todo o mundo. O portfólio de produtos inclui todas as áreas importantes de segurança de e-mail, desde filtros de spam e vírus por meio de arquivamento e criptografia legalmente compatíveis até defesa contra fraude de CEO e ransomware. A Hornetsecurity é representada globalmente com cerca de 200 funcionários em 12 locais e opera com sua rede internacional de revendedores em mais de 30 países.