Microsoft Outlook має багато векторів атак у повсякденних умовах. Аналіз Check Point Research (CPR) показує маршрути атак, які використовують кібер-зловмисники. Це особливо цікаво для малих і середніх компаній – МСП.
Check Point Research (CPR), відділ аналізу загроз Check Point, опублікував детальний аналіз настільної програми Microsoft Outlook, пов’язаної з Microsoft Exchange Server, яка забезпечує глибоке розуміння векторів атак. Зокрема перевірялася версія 2021 під Windows з оновленнями від листопада 2023. Звичайно поточні прогалини безпеки також застосовуються тримати в полі зору.
Три основних способи атаки на MS Outlook
Аналіз, проведений у заводських налаштуваннях і в типовому корпоративному середовищі, показує три основні вектори атак, враховуючи типову поведінку користувача, таку як клацання та подвійне клацання: гіперпосилання, вкладення та розширені атаки (що включають читання електронних листів і спеціальних об’єктів). Знання цих поширених методів, які використовують хакери, має вирішальне значення для розуміння та пом’якшення вразливостей електронної пошти.
Гіперпосилання
Ця проста, але ефективна атака передбачає надсилання електронних листів із шахрайськими гіперпосиланнями. Вони ведуть на фішингові сайти, можуть використовувати вразливості веб-переглядача або навіть ініціювати складні атаки нульового дня. Ризик полягає насамперед у використовуваному браузері, а не в Outlook. Користувачам рекомендується використовувати надійні браузери та остерігатися фішингових сайтів.
Вкладення електронної пошти
Цей метод використовує звичайну практику відкриття вкладень електронної пошти. Рівень загрози залежить від програми, пов’язаної з типом вкладеного файлу в Windows. Після подвійного клацання Outlook автоматично відкриває файл із зазначеною програмою Windows. Незважаючи на те, що Outlook блокує розпізнані (!) типи файлів, позначені як небезпечні, і вимагає підтвердження, яке потребує двох клацань для некласифікованих типів, користувачі повинні бути дуже обережними, чи дійсно вони натискають кнопку «Відкрити», коли отримують вкладення з невідомих джерел.
Просунуті методи
СЛР виявила два вектори атаки, які виходять за рамки звичайних методів:
Читання електронних листів: Атака, відома як «Вікно попереднього перегляду», небезпечна, коли користувачі читають свої електронні листи в Outlook. Загроза походить від обробки різних форматів електронної пошти, таких як HTML і TNEF. Тому рекомендується налаштувати Outlook на відображення електронних листів лише у вигляді звичайного тексту, оскільки зображення та посилання не відображатимуться, що може погіршити взаємодію з користувачем, але підвищить безпеку.
Особливі об'єкти: Цей вектор використовує певні вразливості нульового дня в Outlook, такі як CVE-2023-23397. Хакери можуть зловживати Outlook, надсилаючи скомпрометований об’єкт «нагадування», при цьому атаку здійснюють, просто відкривши Outlook і підключившись до сервера електронної пошти. Важливо зазначити, що користувачеві навіть не потрібно читати цей електронний лист, щоб розпочати атаку. Це підкреслює критичну важливість своєчасного встановлення оновлень і обережного використання.
Повний технічний аналіз векторів атак також можна знайти в Інтернеті в англомовній статті.
Більше на Checkpoint.com
Про КПП Check Point Software Technologies GmbH (www.checkpoint.com/de) є провідним постачальником рішень кібербезпеки для державних адміністрацій і компаній у всьому світі. Рішення захищають клієнтів від кібератак за допомогою найкращого в галузі рівня виявлення шкідливих програм, програм-вимагачів та інших типів атак. Check Point пропонує багаторівневу архітектуру безпеки, яка захищає корпоративну інформацію в хмарі, мережі та на мобільних пристроях, а також найповнішу та інтуїтивно зрозумілу систему керування безпекою «одна точка контролю». Check Point захищає понад 100.000 XNUMX компаній різного розміру.