Kyberturvallisuuskeskus: Microsoft Outlook -sovelluksessa on kriittinen haavoittuvuus

[Diizzel]

Diizzel kirjoitti uutisen/artikkelin:
Kyberturvallisuuskeskus on julkaissut haavoittuvuusvaroituksen Microsoftin Outlook-sähköpostisovelluksen Windows-versioista. Käytännössä haavoittuvuus on mahdollistanut toisen ihmisen tunnusten hyväksikäytön tietynlaisen sähköpostiviestin lähettämällä. Microsoft on julkaissut korjaavan päivityksen, joten Outlook-ohjelmistot kannattaa päivittää.

Haavoittuvuus on ollut huomattavan vakava, sillä jo pelkkä sopivan sähköpostin vastaanottaminen on riittänyt tunnistetietojen vuotamiseen. Viesti muodostaa yhteyden uhrilta hyökkääjien hallinnassa olevaan ulkoiseen UNC-sijaintiin. Tämä vuotaa uhrin Net-NTLMv2-tiivisteen hyökkääjälle, joka voi välittää sen toiseen palveluun ja tunnistautua uhrina. Käytännössä viestin vastaanottajan ei edes tarvitse avata minkäänlaisia linkkejä tai käynnistää ohjelmaa tietokoneessaan tietojen vuotamista varten.

Lähde: Kyberturvallisuuskeskus

Linkki alkuperäiseen juttuun

 

[aleksejjj]

Hyvä kun näistä uutisoidaan, vaikka rautapainotteinen sivusto onkin. Minäkin käytän töissä Outlookia.

 

[Marti77]

Outlook päivitetään sekä tietokone että mobilii puolella niin tiheästi että on vaikea uskoa että tätä on ehditty käyttämään hyväksi.

 

[user9999]

Outlook päivitetään sekä tietokone että mobilii puolella niin tiheästi että on vaikea uskoa että tätä on ehditty käyttämään hyväksi.

Tuota on käytetty jo hyväksi.

Microsoft fixes Outlook zero-day used by Russian hackers since April 2022

Microsoft has patched an Outlook zero-day vulnerability (CVE-2023-23397) exploited by a hacking group linked to Russia's military intelligence service GRU to target European organizations.

www.bleepingcomputer.com

Microsoft tarjoaa ohjeen, jonka avulla voi tarkistaa onko organisaatio jo joutunut haavoittuvuuksien hyväksikäyttöyritysten kohteeksi.

CVE-2023-23397 script - Microsoft - CSS-Exchange

microsoft.github.io

 

[Grizzle]

Outlook päivitetään sekä tietokone että mobilii puolella niin tiheästi että on vaikea uskoa että tätä on ehditty käyttämään hyväksi.

Reikiä ei voida paikata ennen kuin ne on löydetty. Päivitykset sisältävät paljon muutakin kuin reikien paikkauksia, esim. täysin turhia uusia ominaisuuksia, jotka kytketään oletuksena päälle ilman, että asiakkaalle annetaan mahdollisuutta poistaa niitä käytöstä.

 

[Raikku]

Ihan sama, eipä officen sovelluksia muuten kun duunissa duunikoneessa käytä

 

[Obi-Lan]

Onko jossain selvitetty saako hyökkääjä tolla password hashin kun NTLM sitä neuvotellessa tarjoaa etäkoneelle.

MS artikkelissa puhutaan lähinnä, että hyökkääjä voisi uudelleenohjata tuon NTLM neuvottelun johonkin toiseen järjestelmään. Eli koskis niitä keillä on AD ja joilla on vielä jostain syystä nettiin auki oleva IIS purkki missä on vielä NTLM kirjautuminen sallittu. Tai sit hyökkääjän pitäs olla jo sisäverkossa ja AD:sta ei ole kielletty NTLM:ää tms.

 

[pulatunnus]

Käytännössä viestin vastaanottajan ei edes tarvitse avata minkäänlaisia linkkejä tai käynnistää ohjelmaa tietokoneessaan tietojen vuotamista varten.

Tuo - ei tarvitse käynnistää ohjelmaa - niin tarkoittaako sitä että Outlook ohjelman lisäksi ei tarvitse käynnistää muita ohjelmia. Lähinnä sillä jos tietokoneella on haavoittuva versio niin menee hankalaksi päivittää, pitäisi ladata päivitys toisella tietokoneella jne.

Jos sitä että Outlook ohjelma pitää käynnistää, niin sen voi jättää tekemättä, tai tappaa prosessi ja senjälkeen online päiväittää.

Tosin luulisi että jos Exchange palvelu ostettuna niin siellä päässä siivottaisiin tuollaiset tunnetut haitakkeet

Edit, allaolevan vastauksen jälkeen, ratkaisevaa on sen Outlook ohjelman käynnistys, eli jos haluaa pelata varman päälle, niin tietokone ofline päälle, tarkistaa ettei Outlook ole käynnissä/käynisty, kun varma ettei ole, niin sitten päivittää ohjelman, ilmeisesti online päivitys ok.

Firmakäytössä, tietenkin firman ohjeiden mukaan.

 

[Diizzel]

Tuo - ei tarvitse käynnistää ohjelmaa - niin tarkoittaako sitä että Outlook ohjelman lisäksi ei tarvitse käynnistää muita ohjelmia. Lähinnä sillä jos tietokoneella on haavoittuva versio niin menee hankalaksi päivittää, pitäisi ladata päivitys toisella tietokoneella jne.

Jos sitä että Outlook ohjelma pitää käynnistää, niin sen voi jättää tekemättä, tai tappaa prosessi ja senjälkeen online päiväittää.

Tosin luulisi että jos Exchange palvelu ostettuna niin siellä päässä siivottaisiin tuollaiset tunnetut haitakkeet

Tämä lause viittaa siis siihen, ettei viestin vastaanottajan tarvitse ladata tai käynnistellä mitään sovelluksia tai linkkejä viestistä, vaan tiedot vuotavat suoraan sähköpostiohjelmasta sen viestin välityksellä. Tarkempaa tietoa sen toimintatavasta en valitettavasti osaa tuon Kyberturvallisuuskeskuksen varoituksen perusteella antaa, mutta sieltä voi myös itse lähdelinkin takaa tutustua.

 

[FlyingAntero]

Outlook päivitetään sekä tietokone että mobilii puolella niin tiheästi että on vaikea uskoa että tätä on ehditty käyttämään hyväksi.

Töissä tuli ilmoitus IT:ltä tästä ongelmasta. Haavoittuvuutta kuulemma oltiin hyödynnetty jo aktiivisesti. Päivityksen olisi pitänyt tulla automaattisesti koneelle välittömästi mutta ainakaan itselle se ei tullut ennen perjantaita. Piti sitten manuaalisesti laittaa päivitys latautumaan .

 

[Kautium]

Ihan sama, eipä officen sovelluksia muuten kun duunissa duunikoneessa käytä

Ei tuo haavoittuvuus kotikoneessa hirveästi haittaa muutenkaan. Kyse on siitä, että sen kautta hyökkääjä voi saada haltuunsa kirjautuneen käyttäjän ntlm-hashin ja hyödyntää sitä jossakin muualla. "Pass the hash" -tyyppinen hyväksikäyttömenetelmä siis.

Täällä on hyvä tiivistelmä ja rajoitusvaihtoehdot organisaatioille:

Outlook Elevation of Privilege Vulnerability Leaks Credentials via NTLM

Among the latest set of patches released by Microsoft, a fix for CVE-2023-23397 is available to fix an NTLM vulnerability in Outlook for Windows clients. The update closes a hole where attackers can use specially formatted messages to force NTLM credentials to be sent outside the organization.

practical365.com

Olennaisimpana sovellusten aktiivisen päivittämisen lisäksi se, ettei organisaation palomuurista pitäisi olla portin 445 auki ulospäin missään tilanteessa ja jos se on oikeaoppisesti kiinni, ei tuota haavoittuvuutta voi käyttää sisäverkon ulkopuolelta.

Microsoft tarjoaa ohjeen, jonka avulla voi tarkistaa onko organisaatio jo joutunut haavoittuvuuksien hyväksikäyttöyritysten kohteeksi.

CVE-2023-23397 script - Microsoft - CSS-Exchange

microsoft.github.io

Tuon EWS-rajapinnan kautta postilaatikoiden yksittäisiä viestejä tutkivan Powershell-skriptin ajaminen isoissa organisaatioissa voi kestää kirjaimellisesti ikuisuuden. Lopputuloksena saa kuitenkin raportin löytyykö käyttäjien postilaatikoista haavoittuvuutta hyväksikäyttäviä meilejä ja tarvittaessa ne voi samalla myös poistaa.

Se ei kuitenkaan kerro onko haavoittuvuutta käytetty todellisuudessa hyväksi, eikä se myöskään kerro sitä onko haavoittuvuuden sisältävä viesti mahdollisesti saapunut ja poistettu käyttäjän itsensä toimesta jo joskus aiemmin.

Tosin luulisi että jos Exchange palvelu ostettuna niin siellä päässä siivottaisiin tuollaiset tunnetut haitakkeet

Niinhän sitä luulisi, mutta ei siivota ainakaan tässä vaiheessa. En osaa sanoa miksi, kun se olisi kuitenkin melko triviaalia. Varmaan joku omituinen tietosuojajuttu taustalla.