Varovanie pred kritickou zraniteľnosťou v Microsoft Outlook

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred kritickou zraniteľnosťou v Microsoft Outlook, ktorá by mohla byť zneužitá vzdialenými neautentifikovanými útočníkmi na eskaláciu privilégií a prístup do siete obete.

Aplikácia Microsoft Outlook je obľúbená a často používaná ako aplikácia na správu e-mailovej pošty. Je rozšírená globálne a teda aj v slovenskom kybernetickom priestore.

Zraniteľnosť aplikácie, ktorá je označená kódom CVE-2023-23397, je možné zneužiť zaslaním špeciálne upravenej emailovej správy, pomocou ktorej útočník môže získať autentifikačný NTLM token, ktorý vie znežiť na prístup do siete obete. Na zneužitie tejto zraniteľnosti nie je potrebná interakcia používateľa. Spoločnosť Microsoft uviedla, že daná zraniteľnosť je momentálne aktívne zneužívaná.

Zraniteľnosť dosahuje CVSS skóre v hodnote 9,8 a je preto vyhodnotená ako kritická.

Danou zraniteľnosťou sú zasiahnuté všetky podporované verzie aplikácie Microsoft Outlook pre Windows (vydané pred 14.3.2023). Ostatné aplikácie (napr. pre Android, iOS alebo Mac), ako aj webový Outlook a ostatné služby v rámci M365 nie sú zasiahnuté.

Pre overenie, či vaša organizácia bola alebo je cieľom útočníkov, ktorí túto zraniteľnosť zneužívajú, môžete využiť skript a kompletnú dokumentáciu, ktoré sú dostupné na oficiálnej stránke Microsoftu: https://aka.ms/CVE-2023-23397ScriptDoc. 

Národné centrum kybernetickej bezpečnosti SK-CERT v súvislosti s touto zraniteľnosťou odporúča všetkým používateľom, ktorí používajú aplikáciu Microsoft Outlook pre Windows v zraniteľnej verzii aby:

• bezodkladne aktualizovali aplikáciu na najnovšiu verziu, nakoľko na uvedenú zraniteľnosť spoločnosť Microsoft vydal opravu,
• ak nie je možné bezodkladne nainštalovať bezpečnostnú opravu tejto zraniteľnosti, riaďte sa oficiálnym odporúčaním spoločnosti Microsoft na mitigáciu zraniteľnosti:
  • Pridať používateľov do skupiny Protected Users Security Group, ktorá zabraňuje používaniu NTLM ako mechanizmu overovania. Je však nutné upozorniť na to, že tento postup môže mať vplyv na autentifikáciu do iných aplikácií a služieb, ktoré vyžadujú NTLM.
  • Zablokovať odchádzajúcu komunikáciu na port TCP/445.
• skontrolujte sieťové logy minimálne za posledný týždeň so zameraním sa na odchádzajúcu komunikáciu na port TCP/445.
• v prípade zistenia kybernetického bezpečnostného incidentu tento nahlásiť Národnému centru kybernetickej bezpečnosti SK-CERT na [email protected].

Zdroje

• https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

« Späť na zoznam