Obljavljeno: 15.3.2023
Povzetek
Microsoft je zaznal aktivno izkoriščanje ranljivosti CVE-2023-23397, ki napadalcu prek poštnega sporočila naslovljenega prejemniku, ki uporablja Outlook, omogoča krajo NTLM zgoščene vrednosti prejemnikovega gesla za prijavo v Windows. Slednjo lahko napadalec poizkuša razbiti in na ta način pridobi geslo v čistopisu. Microsoft je izrabo ranljivosti zaznal v omejenem številu napadov na organizacije iz vladnega, energetskega in vojaškega sektorja v Evropi, izvedbo napadov pa pripisuje napadalcem iz Rusije. Vsem uporabnikom Microsoft Outlook priporočamo čimprejšnjo namestitev popravkov.
Opis
Ranljivost v Outlooku napadalcu omogoča, da preko posebej pripravljenega sporočila, ki ga naslovi na elektronski naslov žrtve, naslovniku ukrade NTLM poverilnice v zgoščeni obliki. Iz slednje lahko napadalec poizkusi pridobiti geslo v čistopisni obliki ali pa jo neposredno uporabi za avtentikacijo na drugem sistemu, ki podpira NTLM avtentikacijo. Ranljivost in kraja poverilnic se lahko izvedeta brez uporabnikove vednosti oz. interakcije.
Ranljive različice
Ranljive so vse različice Microsoft Outlook za Windows. Različice Microsoft Outlook za Android, iOS, macOS in O365 niso prizadete, saj ne podpirajo NTLM načina avtentikacije.
Ukrepi
Vsem uporabnikom Microsoft Outlook svetujemo čimprejšnjo posodobitev na zadnjo različico produkta. V primeru zaznave izrabe ranljivosti priporočamo preventivno menjavo Windows gesel prizadetih uporabnikov. Če so uporabniki uporabljali isto geslo tudi za druge storitve, je potrebno geslo zamenjati tudi tam.
Zaznavanje izrabe ranljivosti
Vsem organizacijam priporočamo preverjanje znakov izkoriščanja ranljivosti po navodilih Microsofta.
V primeru zaznave izrabe ranljivosti priporočamo zamenjavo gesel vsem prizadetim uporabnikom.
Zaznane poskuse izkoriščanja ranljivosti sporočite na SI-CERT.