Лабораторія безпеки виявила серйозну вразливість у Microsoft Outlook, спрямовану на європейські урядові, військові, енергетичні та транспортні компанії використовується. Уразливість має позначення CVE-2023-23397 і класифікується відповідно до загальної системи оцінки вразливостей (CVSS) зі значенням 9.8. BSI також каже: атака відбувається до того, як електронний лист буде відкрито або до того, як воно відобразиться у вікні попереднього перегляду - одержувачу не потрібні жодні дії!
Уразливість дозволяє неавторизованому зловмиснику скомпрометувати системи за допомогою спеціально створеного електронного листа. Цей шкідливий електронний лист надає йому неавторизований доступ до облікових даних одержувача.
Атаки будуть посилюватися
«Тепер, коли вже опубліковано перші докази концепції, можна припустити, що атаки на вразливість CVE-2023-23397 збільшаться», — пояснює Умут Алемдар, керівник лабораторії безпеки в Hornetsecurity. «Тому ми рекомендуємо всім користувачам Microsoft Outlook якнайшвидше встановити патчі безпеки, надані Microsoft».
Завдяки Advanced Thread Protection (ATP) сучасна система безпеки Hornetsecurity може поміщати в карантин електронні листи, які хочуть використати цю вразливість. «Це запобігає потраплянню електронних листів до папки «Вхідні» жертви», — продовжує Алемдар. «Завдяки ATP наші клієнти вже захищені від цієї небезпеки. Крім того, лабораторія безпеки Hornetsecurity поставила перед собою завдання стежити за ландшафтом загроз, щоб і надалі гарантувати нашим клієнтам найкращий захист від останніх кіберзагроз».
Атака перед попереднім переглядом
Уразливість Outlook уже ініційована клієнтом Outlook, який отримує та обробляє шкідливу електронну пошту. Таким чином, атака може відбутися ще до того, як електронний лист відобразиться у вікні попереднього перегляду. Зловмисник направляє свою жертву в середовище, яке він контролює. Це призводить до витоку хешу Net-NTLMv2 жертви, протоколу виклик-відповідь, який використовується для автентифікації в середовищах Windows. Зловмисник може передати цю інформацію іншій службі, тим самим автентифікуючи себе як жертву та додатково скомпрометувавши систему.
Атака виявляється менш складною і, за словами Microsoft, вже спостерігалася на практиці. Уразливість використовувалася для атаки на європейські урядові, військові, енергетичні та транспортні компанії. Корпорацію Майкрософт вперше сповістила про CVE-2023-233397 CERT-UA (група реагування на надзвичайні ситуації в Україні). Підтвердження концепції, створене командою лабораторії безпеки Hornetsecurity, показує, що виявити атаку особливо важко: усі служби захисту від зловмисного програмного забезпечення та пісочниці, включені у VirusTotal, не змогли класифікувати її як небезпечну.
Більше на Hornetsecurity.com
Про Hornet Security Hornetsecurity є провідним європейським німецьким постачальником послуг хмарної безпеки електронної пошти, який захищає ІТ-інфраструктуру, цифровий зв’язок і дані компаній і організацій будь-якого розміру. Спеціаліст із безпеки з Ганновера надає свої послуги через 10 центрів обробки даних із резервним захистом по всьому світу. Портфоліо продуктів включає всі важливі сфери безпеки електронної пошти, від фільтрів спаму та вірусів до архівування та шифрування, що відповідає вимогам законодавства, до захисту від шахрайства генерального директора та програм-вимагачів. Hornetsecurity представлена в усьому світі близько 200 співробітниками в 12 місцях і працює через свою міжнародну дилерську мережу в більш ніж 30 країнах.