Bir güvenlik laboratuvarı, Microsoft Outlook'ta Avrupa hükümeti, askeriye, enerji ve nakliye şirketlerini hedef alan ciddi bir güvenlik açığı keşfetti. kullanılıyor. Güvenlik açığı, CVE-2023-23397 olarak adlandırılmıştır ve Ortak Güvenlik Açığı Puanlama Sistemine (CVSS) göre 9.8 değeriyle sınıflandırılmıştır. BSI ayrıca şunları söylüyor: Saldırı, e-posta açılmadan veya önizleme penceresinde görüntülenmeden önce gerçekleşir - alıcının herhangi bir işlem yapması gerekmez!
Güvenlik açığı, yetkisiz bir saldırganın özel hazırlanmış bir e-posta ile sistemlerin güvenliğini aşmasına olanak tanır. Bu kötü amaçlı e-posta, alıcının kimlik bilgilerine yetkisiz erişim sağlar.
Saldırılar artacak
Hornetsecurity Güvenlik Laboratuvarı Başkanı Umut Alemdar, "Artık konseptin ilk kanıtları yayınlandığına göre, CVE-2023-23397 güvenlik açığına yönelik saldırıların artacağı varsayılabilir." "Bu nedenle, tüm Microsoft Outlook kullanıcılarının mümkün olan en kısa sürede Microsoft tarafından sağlanan güvenlik yamalarını yüklemelerini öneriyoruz."
Gelişmiş İş Parçacığı Koruması (ATP) sayesinde, Hornetsecurity'nin modern güvenlik sistemi, bu güvenlik açığından yararlanmak isteyen e-postaları karantinaya alabilir. Alemdar, "Bu, e-postaların kurbanın gelen kutusuna ulaşmasını engelliyor," diye devam ediyor. “ATP sayesinde müşterilerimiz zaten bu tehlikeden korunuyor. Ayrıca Hornetsecurity'nin Güvenlik Laboratuvarı, müşterilerimize en son siber tehditlere karşı mümkün olan en iyi korumayı garanti etmeye devam etmek için tehdit ortamını kartal gözleriyle izleme görevini üstlendi."
Önizlemeden önce saldırı
Outlook güvenlik açığı, kötü amaçlı bir e-postayı alan ve işleyen Outlook istemcisi tarafından zaten başlatıldı. Bu nedenle, e-posta önizleme penceresinde görüntülenmeden önce bile bir saldırı gerçekleşebilir. Saldırgan, kurbanını kontrol ettiği bir ortama yönlendirir. Bu, kurbanın Windows ortamlarında kimlik doğrulama için kullanılan bir sorgulama-yanıt protokolü olan Net-NTLMv2 karmasının sızdırılmasına neden olur. Saldırgan bu bilgileri başka bir hizmete iletebilir, böylece kurban olarak kimliğini doğrulayabilir ve sistemin güvenliğini daha fazla tehlikeye atabilir.
Saldırının daha az karmaşık olduğu ve Microsoft'a göre pratikte zaten gözlemlendiği ortaya çıktı. Güvenlik açığı, Avrupa hükümetine, askeriyeye, enerji ve nakliye şirketlerine saldırmak için kullanıldı. CVE-2023-233397 Microsoft'a ilk olarak CERT-UA (Ukrayna Bilgisayar Acil Müdahale Ekibi) tarafından bildirildi. Hornetsecurity Güvenlik Laboratuvarı ekibi tarafından oluşturulan bir kavram kanıtı, saldırının tespit edilmesinin özellikle zor olduğunu gösteriyor: VirusTotal'a dahil olan tüm kötü amaçlı yazılım önleme ve korumalı alan hizmetleri, saldırıyı tehlikeli olarak sınıflandıramadı.
Hornetsecurity.com'da daha fazlası
Hornet Güvenliği Hakkında Hornetsecurity, Avrupa'nın önde gelen Alman e-posta bulut güvenliği sağlayıcısıdır ve her büyüklükteki şirket ve kuruluşun BT altyapısını, dijital iletişimini ve verilerini korur. Hannover'den güvenlik uzmanı, hizmetlerini dünya çapında yedekli olarak güvenli 10 veri merkezi aracılığıyla sağlıyor. Ürün portföyü, spam ve virüs filtrelerinden yasal olarak uyumlu arşivleme ve şifrelemeye, CEO dolandırıcılığına ve fidye yazılımlarına karşı savunmaya kadar e-posta güvenliğinin tüm önemli alanlarını içerir. Hornetsecurity, dünya çapında 200 lokasyonda yaklaşık 12 çalışanı ile temsil edilmekte ve 30'dan fazla ülkede uluslararası bayi ağı ile faaliyet göstermektedir.