Bu Parola Hack'i, İşvereninizin Microsoft Outlook'a Bugün Yama Yapması Gerektiği Anlamına Geliyor

Bilgisayar korsanları sürekli olarak güvenli ağlara sızmanın yeni yollarını arıyor. Sorumlu tüm işletmeler güvenliğe yatırım yaptığı için bu zor bir iştir. Bununla birlikte, her zaman etkili olacak bir yöntem, popüler yazılım ürünlerinde yeni güvenlik açıklarının kullanılmasıdır.

Kısa süre önce Outlook'ta, bilgisayar korsanlarının hesap sahibine yalnızca e-posta göndererek parolaları çalmasına olanak tanıyan bir güvenlik açığı keşfedildi. Bir yama yayınlandı, ancak birçok işletme henüz Outlook sürümlerini güncellemedi.

Peki bu güvenlik açığı nedir ve işletmeler buna karşı nasıl savunma yapabilir?

CVE-2023-23397 Güvenlik Açığı Nedir?

CVE-2023-23397 güvenlik açığı, Windows üzerinde çalışan Microsoft Outlook'u etkileyen bir ayrıcalık yükseltme güvenlik açığıdır.

Bu güvenlik açığının Nisan'dan Aralık 2022'ye kadar ulus devlet aktörleri tarafından çok çeşitli sektörlere karşı kullanıldığına inanılıyor. Mart 2023'te bir yama yayınlandı.

Bir yamanın yayınlanması, kuruluşların buna karşı kolayca savunma yapabileceği anlamına gelirken, şu anda yoğun bir şekilde duyurulması gerçeği, yama yapmayan işletmeler için riskin arttığı anlamına geliyor.

Başlangıçta ulus devletler tarafından kullanılan güvenlik açıklarının, kullanılabilirliği öğrenildikten sonra bireysel bilgisayar korsanları ve bilgisayar korsanlığı grupları tarafından yaygın olarak kullanılması alışılmadık bir durum değildir.

Microsoft Outlook Güvenlik Açığı Kimleri Hedefliyor?

CVE-2023-23397 güvenlik açığı yalnızca Windows üzerinde çalışan Outlook'ta etkilidir. Android, Apple ve web kullanıcıları etkilenmez ve yazılımlarını güncellemeleri gerekmez.

Özel şahısların hedef alınması olası değildir çünkü bunu yapmak bir işletmeyi hedeflemek kadar karlı değildir. Bununla birlikte, özel bir kişi Windows için Outlook kullanıyorsa, yazılımlarını yine de güncelleştirmeleri gerekir.

Birçoğu önemli verilerini korumak için Windows için Outlook kullandığından, işletmelerin birincil hedef olması muhtemeldir. Saldırının gerçekleştirilme kolaylığı ve yazılımı kullanan işletmelerin sayısı, güvenlik açığının bilgisayar korsanları arasında popüler olacağı anlamına geliyor.

Güvenlik Açığı Nasıl Çalışır?

Bu saldırı, Microsoft Outlook'un kurbanın NTLM karmasını ortaya çıkarmasına neden olan belirli özelliklere sahip bir e-posta kullanır. NTLM, Yeni Teknoloji LAN Yöneticisi anlamına gelir ve bu hash, kurbanın hesabının kimlik doğrulaması için kullanılabilir.

E-posta, genişletilmiş bir MAPI (Microsoft Outlook Mesajlaşma Uygulama Programlama) kullanarak karmayı alır. tarafından kontrol edilen bir Sunucu İleti Bloğu paylaşımının yolunu içeren Arayüz) özelliği. saldırgan

Outlook bu e-postayı aldığında, NTLM karmasını kullanarak SMB paylaşımında kimliğini doğrulamaya çalışır. SMB paylaşımını kontrol eden bilgisayar korsanı, hash'e erişebilir.

Outlook Güvenlik Açığı Neden Bu Kadar Etkili?

CVE-2023-23397, birkaç nedenden dolayı etkili bir güvenlik açığıdır:

• Outlook, çok çeşitli işletmeler tarafından kullanılır. Bu, bilgisayar korsanları için çekici hale getirir.
• CVE-2023-23397 güvenlik açığının kullanımı kolaydır ve uygulanması çok fazla teknik bilgi gerektirmez.
• CVE-2023-23397 güvenlik açığına karşı savunma yapmak zordur. E-posta tabanlı saldırıların çoğu, alıcının e-posta ile etkileşime girmesini gerektirir. Bu güvenlik açığı, herhangi bir etkileşim olmadan etkilidir. Bu nedenle çalışanları eğitmek, kimlik avı e-postaları hakkında veya onlara e-posta eklerini indirmemelerini söylemenin (yani, kötü niyetli e-postalardan korunmak için kullanılan geleneksel yöntemler) hiçbir etkisi yoktur.
• Bu saldırı herhangi bir kötü amaçlı yazılım türü kullanmaz. Bu nedenle, güvenlik yazılımı tarafından alınmayacaktır.

Bu Güvenlik Açığının Kurbanlarına Ne Olur?

CVE-2023-23397 güvenlik açığı, bir saldırganın kurbanın hesabına erişmesine olanak tanır. Dolayısıyla sonuç, mağdurun neye erişebildiğine bağlıdır. Saldırgan verileri çalabilir veya bir fidye yazılımı saldırısı başlatmak.

Kurbanın özel verilere erişimi varsa, saldırgan onu çalabilir. Müşteri bilgileri söz konusu olduğunda, karanlık ağda satılabilir. Bu sadece müşteriler için değil, aynı zamanda işletmenin itibarı için de sorunludur.

Saldırgan ayrıca fidye yazılımı kullanarak özel veya önemli bilgileri şifreleyebilir. Başarılı bir fidye yazılımı saldırısından sonra, işletme saldırgana fidye ödemediği sürece tüm verilere erişilemez (ve o zaman bile siber suçlular verilerin şifresini çözmemeye karar verebilir).

CVE-2023-23397 Güvenlik Açığı'ndan Etkilenip Etkilenmediğinizi Nasıl Kontrol Edebilirsiniz?

İşletmenizin zaten bu güvenlik açığından etkilenmiş olabileceğini düşünüyorsanız, Microsoft'tan bir PowerShell betiği kullanarak sisteminizi otomatik olarak kontrol edebilirsiniz. Bu betik, dosyalarınızı arar ve bu saldırıda kullanılan parametreleri arar. Bunları bulduktan sonra sisteminizden silebilirsiniz. Komut dosyasına erişilebilir Microsoft aracılığıyla.

Bu Güvenlik Açığına Karşı Nasıl Korunulur?

Bu güvenlik açığından korunmanın en iyi yolu, tüm Outlook yazılımlarını güncellemektir. Microsoft, 14 Mart 2023'te bir yama yayınladı ve bir kez yüklendikten sonra, bu saldırı girişimleri etkisiz olacaktır.

Yazılımlara yama uygulamak tüm işletmeler için bir öncelik olsa da, herhangi bir nedenle bu başarılamazsa, bu saldırının başarılı olmasını engellemenin başka yolları da var. Onlar içerir:

• TCP 445 gideni engelleyin. Bu saldırı 445 numaralı bağlantı noktasını kullanır ve bu bağlantı noktası üzerinden herhangi bir iletişim mümkün değilse saldırı başarısız olur. Başka amaçlar için 445 numaralı bağlantı noktasına ihtiyacınız varsa, o bağlantı noktası üzerinden tüm trafiği izlemeli ve harici bir IP adresine giden her şeyi engellemelisiniz.
• Tüm kullanıcıları Korumalı Kullanıcı Güvenlik Grubuna ekleyin. Bu gruptaki herhangi bir kullanıcı, kimlik doğrulama yöntemi olarak NTLM'yi kullanamaz. Bunun, NTLM'ye dayanan tüm uygulamaları da etkileyebileceğini unutmamak önemlidir.
• Tüm kullanıcıların Outlook'ta Anımsatıcıları Göster ayarını devre dışı bırakmasını isteyin. Bu, saldırganın NTLM kimlik bilgilerine erişmesini engelleyebilir.
• Tüm kullanıcıların WebClient hizmetini devre dışı bırakmasını isteyin. Bunun, intranet üzerinden olanlar da dahil olmak üzere tüm WebDev bağlantılarını engelleyeceğini ve bu nedenle mutlaka uygun bir seçenek olmadığını unutmamak önemlidir.

CVE-2023-23397 Güvenlik Açığına Karşı Yama Yapmanız Gerekiyor

CVE-2023-23397 güvenlik açığı, Outlook'un popülerliği ve bir saldırgana sağladığı erişim miktarı nedeniyle önemlidir. Başarılı bir saldırı, siber saldırganın, verileri çalmak veya şifrelemek için kullanılabilecek kurbanın hesabına erişmesini sağlar.

Bu saldırıya karşı düzgün bir şekilde korunmanın tek yolu, Outlook yazılımını Microsoft'un kullanıma sunduğu gerekli yamayla güncellemektir. Bunu yapmayan herhangi bir işletme, bilgisayar korsanları için çekici bir hedeftir.