Detta lösenordshack innebär att din arbetsgivare måste patcha Microsoft Outlook idag

Hackare letar ständigt efter nya sätt att infiltrera säkra nätverk. Detta är en svår utmaning eftersom alla ansvarsfulla företag investerar i säkerhet. En metod som alltid kommer att vara effektiv är dock användningen av nya sårbarheter i populära mjukvaruprodukter.

En sårbarhet upptäcktes nyligen i Outlook som gör att hackare kan stjäla lösenord genom att helt enkelt maila kontoinnehavaren. En patch har släppts, men många företag har ännu inte uppdaterat sin version av Outlook.

Så vad är denna sårbarhet, och hur kan företag försvara sig mot den?

Vad är CVE-2023-23397-sårbarheten?

CVE-2023-23397-sårbarheten är en privilegieeskaleringssårbarhet som påverkar Microsoft Outlook som körs på Windows.

Denna sårbarhet tros ha använts från april till december 2022 av nationalstatsaktörer mot en mängd olika branscher. En patch släpptes i mars 2023.

Medan frisläppandet av en patch innebär att organisationer lätt kan försvara sig mot den, betyder det faktum att den nu är kraftigt publicerad att risken för företag som inte patchar har ökat.

Det är inte ovanligt att sårbarheter som används av nationalstater till en början används i stor utsträckning av enskilda hackare och hackare när dess tillgänglighet är känd.

Vem riktas mot Microsoft Outlook-sårbarheten?

Sårbarheten CVE-2023-23397 är endast effektiv mot Outlook som körs på Windows. Android-, Apple- och webbanvändare påverkas inte och behöver inte uppdatera sin programvara.

Det är osannolikt att privatpersoner blir riktade eftersom det inte är lika lönsamt som att rikta sig mot ett företag. Om en privatperson använder Outlook för Windows bör de dock fortfarande uppdatera sin programvara.

Företag kommer sannolikt att vara det primära målet eftersom många använder Outlook för Windows för att skydda sina viktiga data. Lättheten med vilken attacken kan utföras, och antalet företag som använder programvaran, gör att sårbarheten sannolikt kommer att visa sig populär bland hackare.

Hur fungerar sårbarheten?

Denna attack använder ett e-postmeddelande med specifika egenskaper som får Microsoft Outlook att avslöja offrets NTLM-hash. NTLM står för New Technology LAN Master och denna hash kan användas för autentisering till offrets konto.

E-postmeddelandet hämtar hash genom att använda en utökad MAPI (Microsoft Outlook Messaging Application Programming Interface) egenskap som innehåller sökvägen till en Server Message Block-resurs som kontrolleras av angripare.

När Outlook tar emot detta e-postmeddelande försöker det autentisera sig för SMB-resursen med hjälp av dess NTLM-hash. Hackaren som har kontroll över SMB-andelen kan sedan komma åt hashen.

Varför är Outlook-sårbarheten så effektiv?

CVE-2023-23397 är en effektiv sårbarhet av ett antal anledningar:

• Outlook används av en mängd olika företag. Detta gör det attraktivt för hackare.
• Sårbarheten CVE-2023-23397 är lätt att använda och kräver inte mycket teknisk kunskap för att implementera.
• Sårbarheten CVE-2023-23397 är svår att försvara sig mot. De flesta e-postbaserade attacker kräver att mottagaren interagerar med e-postmeddelandet. Denna sårbarhet är effektiv utan interaktion. På grund av detta, utbilda anställda om nätfiske-e-post eller att säga åt dem att inte ladda ner e-postbilagor (dvs. de traditionella metoderna för att undvika skadliga e-postmeddelanden) har ingen effekt.
• Denna attack använder ingen typ av skadlig programvara. På grund av detta kommer det inte att plockas upp av säkerhetsprogramvara.

Vad händer med offer för denna sårbarhet?

CVE-2023-23397-sårbarheten tillåter en angripare att få tillgång till offrets konto. Utfallet beror därför på vad offret har tillgång till. Angriparen kan stjäla data eller starta en ransomware-attack.

Om offret har tillgång till privata data kan angriparen stjäla den. När det gäller kundinformation, den kan säljas på den mörka webben. Detta är inte bara problematiskt för kunderna utan också för företagets rykte.

Angriparen kanske också kan kryptera privat eller viktig information med hjälp av ransomware. Efter en lyckad ransomware-attack är all data otillgänglig om inte företaget betalar angriparen en lösensumma (och även då kan cyberbrottslingar besluta sig för att inte dekryptera datan).

Så här kontrollerar du om du påverkas av CVE-2023-23397-sårbarheten

Om du tror att ditt företag redan har påverkats av denna sårbarhet kan du kontrollera ditt system automatiskt med ett PowerShell-skript från Microsoft. Det här skriptet söker igenom dina filer och letar efter parametrar som används i denna attack. När du har hittat dem kan du ta bort dem från ditt system. Manuset kan nås via Microsoft.

Hur man skyddar sig mot denna sårbarhet

Det optimala sättet att skydda sig mot denna sårbarhet är att uppdatera all Outlook-programvara. Microsoft släppte en patch den 14 mars 2023, och när den väl har installerats kommer alla försök till denna attack att vara ineffektiva.

Även om patchprogramvara bör vara en prioritet för alla företag, om detta av någon anledning inte kan uppnås, finns det andra sätt att förhindra att denna attack blir framgångsrik. De inkluderar:

• Blockera TCP 445 utgående. Denna attack använder port 445 och om ingen kommunikation är möjlig via den porten kommer attacken att misslyckas. Om du behöver port 445 för andra ändamål bör du övervaka all trafik över den porten och blockera allt som går till en extern IP-adress.
• Lägg till alla användare till den skyddade användarsäkerhetsgruppen. Alla användare i den här gruppen kan inte använda NTLM som autentiseringsmetod. Det är viktigt att notera att detta också kan störa alla program som är beroende av NTLM.
• Be alla användare inaktivera inställningen Visa påminnelser i Outlook. Detta kan förhindra att angriparen får åtkomst till NTLM-uppgifter.
• Be alla användare inaktivera WebClient-tjänsten. Det är viktigt att notera att detta kommer att förhindra alla WebDev-anslutningar inklusive över intranät och är därför inte nödvändigtvis ett lämpligt alternativ.

Du måste patcha mot CVE-2023-23397-sårbarheten

Sårbarheten i CVE-2023-23397 är betydande på grund av Outlooks popularitet och mängden åtkomst som det ger en angripare. En framgångsrik attack tillåter cyberattackaren att få tillgång till offrets konto som kan användas för att stjäla eller kryptera data.

Det enda sättet att korrekt skydda mot denna attack är att uppdatera Outlook-programvaran med den nödvändiga patch som Microsoft har gjort tillgänglig. Alla företag som inte gör det är ett attraktivt mål för hackare.