BSI попереджає про вразливість в Outlook, яка, очевидно, вже активно використовується. Значення CVSS уразливості становить 9.8 і тому вважається критичним. Корпорація Майкрософт уже надає оновлення, яке має бути встановлено негайно, якщо це не сталося автоматично.
14 березня 2023 року корпорація Майкрософт випустила оновлення для численних уразливостей у рамках своїх щомісячних днів виправлень, включаючи кілька виправлень для вразливостей системи безпеки, які класифікуються як «критичні» відповідно до загальної системи оцінки вразливостей (CVSS) зі значеннями 9.0 і вище.
Важливий патч готовий
Серед публікацій: патч для «вразливості Microsoft Outlook Elevation of Privilege Vulnerability» (CVE-2023-23397; оцінка CVSS 9.8), де компанія вказує, що вразливість вже активно використовується. Згідно з цим, зловмисники могли використовувати маніпульовану електронну пошту для перехоплення хешів Net-NTLMv2. Атака відбувається вже під час обробки електронної пошти на сервері електронної пошти - одержувачу не потрібні дії. Це стосується всіх версій Outlook для Windows. Більше інформації можна знайти в публікації блогу Microsoft.
Більше критичних вразливостей з 9.8 з 10
Корпорація Майкрософт перераховує такі вразливості як найвищі оцінки CVSS, але ще не активно використовуються відповідно до поточного рівня знань:
- Уразливість віддаленого виконання коду стеку протоколу HTTP (CVE-2023-23392; оцінка CVSS 9.8): уразливість переважно у Windows Server 2022, якщо ввімкнено протокол HTTP/3.
- Уразливість віддаленого виконання коду під час виконання віддаленого виклику процедури (CVE-2023-21708; оцінка CVSS 9.8): уражені сервери Windows, чий порт 135 (RPC Endpoint Mapper) доступний.
- Уразливість протоколу керуючих повідомлень Інтернету (ICMP) до віддаленого виконання коду (CVE-2023-23415; оцінка CVSS 9.8): якщо програма в системі використовує необроблені сокети, код може виконуватися віддалено в системі за допомогою маніпуляційних IP-пакетів.
Співробітники ІТ-безпеки повинні негайно перевірити встановлення опублікованих патчів. Описане вище пом’якшення «вразливості Microsoft Outlook щодо підвищення привілеїв» (CVE-2023-23397) має розглядатися з особливим пріоритетом через використання, яке вже було помічено. Крім того, ми наполегливо рекомендуємо вам також негайно перевірити інші оновлення. Хоча тут немає відомих атак, виробник припускає, що існує висока ймовірність, що вони відбудуться.
За словами Microsoft, зловмисники можуть використовувати хеші Net-NTLMv2023, отримані шляхом використання CVE-23397-2, для релейних атак NTLM. Релейні атаки NTLM можна пом’якшити, активувавши суворе підписання SMB і LDAP, розширений захист для автентифікації (EPA) або, в ідеалі, повністю вимкнувши автентифікацію NTLM. Корпорація Майкрософт надає сценарій для перевірки того, чи вже відбулася атака на її власні системи.
Більше на BSI.bund.de
Про Microsoft Німеччина Microsoft Deutschland GmbH була заснована в 1983 році як німецька дочірня компанія Microsoft Corporation (Редмонд, США). Корпорація Майкрософт прагне надати можливість кожній людині та кожній організації на планеті досягти більшого. Цю проблему можна подолати лише разом, тому різноманітність і інклюзивність були міцно закріплені в корпоративній культурі з самого початку. Як провідний світовий виробник продуктивних програмних рішень і сучасних послуг в епоху інтелектуальної хмари та інтелектуального краю, а також розробник інноваційного апаратного забезпечення, Microsoft бачить себе партнером для своїх клієнтів, щоб допомогти їм отримати вигоду від цифрової трансформації. Безпека та конфіденційність є головними пріоритетами при розробці рішень. Як найбільший учасник у світі, Microsoft просуває технологію з відкритим кодом через свою провідну платформу розробників GitHub. За допомогою LinkedIn, найбільшої кар’єрної мережі, Microsoft сприяє розвитку професійних мереж у всьому світі.