Microsoft opublikował informację o krytycznej podatności CVE-2023-23397 w aplikacji Outlook na systemie Windows. Może ona prowadzić do zdalnego przejęcia hasła domenowego, bez interakcji użytkownika.
Podatność była aktywnie używana w atakach przez jedną z rosyjskich grup APT od kwietnia 2022 roku, w tym w Polsce. Rekomendujemy podjęcie natychmiastowych działań we wszystkich organizacjach, których użytkownicy korzystają z poczty poprzez klienta Microsoft Outlook.
Aktualizacja 15.03:
Szczegóły podatności zostały już opisane publicznie i można się spodziewać masowych ataków z jej wykorzystaniem w najbliższych dniach.
Szczegóły podatności i zagrożenia
Podatność pozwala na przechwycenie skrótu NTLMv2 i późniejszą próbę odzyskania hasła domenowego poprzez atak siłowy. W sytuacji gdy atakujący ma dostęp do sieci lokalnej ofiary, możliwe jest również bezpośrednie wykorzystanie skrótu NTLMv2 do zalogowania w innych usługach bez potrzeby jego łamania, tzw. NTLM relay.
Do przeprowadzenia ataku wystarczy otrzymanie przez ofiarę wiadomości e-mail zawierającej odpowiednio spreparowane wydarzenie kalendarza albo zadanie, które spowoduje odwołanie do ścieżki UNC kontrolowanej przez atakującego. Nie jest wymagana żadna interakcja użytkownika. Atak może zostać przeprowadzony zdalnie. Pozyskane hasło domenowe może być użyte do logowania do innych dostępnych publicznie usług firmowych, np. VPNa. Jeśli nie jest wykorzystywane uwierzytelnianie dwuskładnikowe, może to doprowadzić do uzyskania przez atakującego dostępu do sieci firmowej.
Podatne wersje i rekomendacje aktualizacji
Podatne są wszystkie wersje Microsoft Outlook na platformę Windows. Nie są podatne wersje na platformy Android, iOS, czy macOS. Usługi chmurowe jak Microsoft 365 również nie są podatne. Zalecamy niezwłoczną aktualizację klientów Outlook zgodnie z wytycznymi na dedykowanej stronie: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397.
Tymczasowe obejścia i ogólne rekomendacje
- Zablokowanie ruchu wychodzącego po protokole SMB (445/TCP) z organizacji, lub ograniczenie go do zaufanych serwerów.
- Jeśli nie jest to możliwe do wdrożenia w krótkim czasie, dokładne monitorowanie ruchu wychodzącego po protokole SMB pod kątem odwołań do nowych serwerów.
- Jeśli jest to możliwe, wyłączenie uwierzytelniania mechanizmem NTLM poprzez dodanie kont użytkowników do grupy
Protected Users Security Group
(w szczególności kont administratorów domeny). Uwaga: Może to mieć wpływ na działanie aplikacji, które wymagają NTLM. - Stosowanie silnych haseł – znacząco utrudni to złamanie skrótu NTLMv2 pozyskanego poprzez wykorzystanie podatności.
- Stosowanie uwierzytelniania dwuskładnikowego, w szczególności do usług wystawionych do internetu, jak np. gateway VPN, czy OWA.
- Nieudostępnianie w internecie usług, które nie pozwalają na wykorzystanie uwierzytelniania dwuskładnikowego, jak RDP, czy SMB.
Wykrycie prób wykorzystania podatności
Firma Microsoft udostępniła skrypt Powershell, dzięki któremu można sprawdzić czy użytkownicy w organizacji otrzymali wiadomości umożliwiające wykorzystanie podatności. Jeżeli narzędzie wykaże obiekty z podanymi zewnętrznymi ścieżkami UNC, może to oznaczać, że Państwa organizacja padła ofiarą ataku. Rekomendujemy niezwłoczne użycie narzędzia przez administratorów serwerów Exchange.
Link do narzędzia: https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/.
Zalecamy również przejrzenie archiwalnych logów sieciowych pod kątem ruchu wychodzącego po protokole SMB (445/TCP), do serwerów nie wykorzystywanych regularnie przez organizacje.
W przypadku wykrycia prób wykorzystania podatności zalecamy niezwłoczną weryfikację logów w celu potwierdzenia możliwego przejęcia kont, rozpoczęcie procedury obsługi incydentu oraz skontaktowanie się z właściwym zespołem CSIRT: