Kyberturvallisuuskeskus: Microsoft Outlook -sovelluksessa on kriittinen haavoittuvuus

Diizzel

Ylläpidon jäsen
Liittynyt
29.10.2016
Viestejä
2 229
Kyberturvallisuuskeskus-Xiaomi-raportti-081021.jpg


Diizzel kirjoitti uutisen/artikkelin:
Kyberturvallisuuskeskus on julkaissut haavoittuvuusvaroituksen Microsoftin Outlook-sähköpostisovelluksen Windows-versioista. Käytännössä haavoittuvuus on mahdollistanut toisen ihmisen tunnusten hyväksikäytön tietynlaisen sähköpostiviestin lähettämällä. Microsoft on julkaissut korjaavan päivityksen, joten Outlook-ohjelmistot kannattaa päivittää.

Haavoittuvuus on ollut huomattavan vakava, sillä jo pelkkä sopivan sähköpostin vastaanottaminen on riittänyt tunnistetietojen vuotamiseen. Viesti muodostaa yhteyden uhrilta hyökkääjien hallinnassa olevaan ulkoiseen UNC-sijaintiin. Tämä vuotaa uhrin Net-NTLMv2-tiivisteen hyökkääjälle, joka voi välittää sen toiseen palveluun ja tunnistautua uhrina. Käytännössä viestin vastaanottajan ei edes tarvitse avata minkäänlaisia linkkejä tai käynnistää ohjelmaa tietokoneessaan tietojen vuotamista varten.

Lähde: Kyberturvallisuuskeskus

Linkki alkuperäiseen juttuun
 
Outlook päivitetään sekä tietokone että mobilii puolella niin tiheästi että on vaikea uskoa että tätä on ehditty käyttämään hyväksi.
 
Outlook päivitetään sekä tietokone että mobilii puolella niin tiheästi että on vaikea uskoa että tätä on ehditty käyttämään hyväksi.
Tuota on käytetty jo hyväksi.

Microsoft tarjoaa ohjeen, jonka avulla voi tarkistaa onko organisaatio jo joutunut haavoittuvuuksien hyväksikäyttöyritysten kohteeksi.
 
Viimeksi muokattu:
Outlook päivitetään sekä tietokone että mobilii puolella niin tiheästi että on vaikea uskoa että tätä on ehditty käyttämään hyväksi.
Reikiä ei voida paikata ennen kuin ne on löydetty. Päivitykset sisältävät paljon muutakin kuin reikien paikkauksia, esim. täysin turhia uusia ominaisuuksia, jotka kytketään oletuksena päälle ilman, että asiakkaalle annetaan mahdollisuutta poistaa niitä käytöstä.
 
Ihan sama, eipä officen sovelluksia muuten kun duunissa duunikoneessa käytä
 
Onko jossain selvitetty saako hyökkääjä tolla password hashin kun NTLM sitä neuvotellessa tarjoaa etäkoneelle.

MS artikkelissa puhutaan lähinnä, että hyökkääjä voisi uudelleenohjata tuon NTLM neuvottelun johonkin toiseen järjestelmään. Eli koskis niitä keillä on AD ja joilla on vielä jostain syystä nettiin auki oleva IIS purkki missä on vielä NTLM kirjautuminen sallittu. Tai sit hyökkääjän pitäs olla jo sisäverkossa ja AD:sta ei ole kielletty NTLM:ää tms.
 
Käytännössä viestin vastaanottajan ei edes tarvitse avata minkäänlaisia linkkejä tai käynnistää ohjelmaa tietokoneessaan tietojen vuotamista varten.
Tuo - ei tarvitse käynnistää ohjelmaa - niin tarkoittaako sitä että Outlook ohjelman lisäksi ei tarvitse käynnistää muita ohjelmia. Lähinnä sillä jos tietokoneella on haavoittuva versio niin menee hankalaksi päivittää, pitäisi ladata päivitys toisella tietokoneella jne.

Jos sitä että Outlook ohjelma pitää käynnistää, niin sen voi jättää tekemättä, tai tappaa prosessi ja senjälkeen online päiväittää.

Tosin luulisi että jos Exchange palvelu ostettuna niin siellä päässä siivottaisiin tuollaiset tunnetut haitakkeet

Edit, allaolevan vastauksen jälkeen, ratkaisevaa on sen Outlook ohjelman käynnistys, eli jos haluaa pelata varman päälle, niin tietokone ofline päälle, tarkistaa ettei Outlook ole käynnissä/käynisty, kun varma ettei ole, niin sitten päivittää ohjelman, ilmeisesti online päivitys ok.

Firmakäytössä, tietenkin firman ohjeiden mukaan.
 
Viimeksi muokattu:
Tuo - ei tarvitse käynnistää ohjelmaa - niin tarkoittaako sitä että Outlook ohjelman lisäksi ei tarvitse käynnistää muita ohjelmia. Lähinnä sillä jos tietokoneella on haavoittuva versio niin menee hankalaksi päivittää, pitäisi ladata päivitys toisella tietokoneella jne.

Jos sitä että Outlook ohjelma pitää käynnistää, niin sen voi jättää tekemättä, tai tappaa prosessi ja senjälkeen online päiväittää.

Tosin luulisi että jos Exchange palvelu ostettuna niin siellä päässä siivottaisiin tuollaiset tunnetut haitakkeet
Tämä lause viittaa siis siihen, ettei viestin vastaanottajan tarvitse ladata tai käynnistellä mitään sovelluksia tai linkkejä viestistä, vaan tiedot vuotavat suoraan sähköpostiohjelmasta sen viestin välityksellä. Tarkempaa tietoa sen toimintatavasta en valitettavasti osaa tuon Kyberturvallisuuskeskuksen varoituksen perusteella antaa, mutta sieltä voi myös itse lähdelinkin takaa tutustua.
 
Outlook päivitetään sekä tietokone että mobilii puolella niin tiheästi että on vaikea uskoa että tätä on ehditty käyttämään hyväksi.
Töissä tuli ilmoitus IT:ltä tästä ongelmasta. Haavoittuvuutta kuulemma oltiin hyödynnetty jo aktiivisesti. Päivityksen olisi pitänyt tulla automaattisesti koneelle välittömästi mutta ainakaan itselle se ei tullut ennen perjantaita. Piti sitten manuaalisesti laittaa päivitys latautumaan :hmm:.
 
Ihan sama, eipä officen sovelluksia muuten kun duunissa duunikoneessa käytä
Ei tuo haavoittuvuus kotikoneessa hirveästi haittaa muutenkaan. Kyse on siitä, että sen kautta hyökkääjä voi saada haltuunsa kirjautuneen käyttäjän ntlm-hashin ja hyödyntää sitä jossakin muualla. "Pass the hash" -tyyppinen hyväksikäyttömenetelmä siis.

Täällä on hyvä tiivistelmä ja rajoitusvaihtoehdot organisaatioille:


Olennaisimpana sovellusten aktiivisen päivittämisen lisäksi se, ettei organisaation palomuurista pitäisi olla portin 445 auki ulospäin missään tilanteessa ja jos se on oikeaoppisesti kiinni, ei tuota haavoittuvuutta voi käyttää sisäverkon ulkopuolelta.
Microsoft tarjoaa ohjeen, jonka avulla voi tarkistaa onko organisaatio jo joutunut haavoittuvuuksien hyväksikäyttöyritysten kohteeksi.
Tuon EWS-rajapinnan kautta postilaatikoiden yksittäisiä viestejä tutkivan Powershell-skriptin ajaminen isoissa organisaatioissa voi kestää kirjaimellisesti ikuisuuden. Lopputuloksena saa kuitenkin raportin löytyykö käyttäjien postilaatikoista haavoittuvuutta hyväksikäyttäviä meilejä ja tarvittaessa ne voi samalla myös poistaa.

Se ei kuitenkaan kerro onko haavoittuvuutta käytetty todellisuudessa hyväksi, eikä se myöskään kerro sitä onko haavoittuvuuden sisältävä viesti mahdollisesti saapunut ja poistettu käyttäjän itsensä toimesta jo joskus aiemmin.

Tosin luulisi että jos Exchange palvelu ostettuna niin siellä päässä siivottaisiin tuollaiset tunnetut haitakkeet
Niinhän sitä luulisi, mutta ei siivota ainakaan tässä vaiheessa. En osaa sanoa miksi, kun se olisi kuitenkin melko triviaalia. Varmaan joku omituinen tietosuojajuttu taustalla.
 

Uusimmat viestit

Statistiikka

Viestiketjuista
257 000
Viestejä
4 465 826
Jäsenet
73 879
Uusin jäsen
Torvelo

Hinta.fi

Back
Ylös Bottom