Upozorňujeme na zranitelnost CVE-2023-23397
16. 03. 2023
Upozorňujeme na zranitelnost CVE-2023-23397
Upozorňujeme na zranitelnost CVE-2023-23397 týkající se aplikace Microsoft Outlook, kterou lze zneužít doručením speciálně upravené e-mailové zprávy na Outlook klienta, přičemž není potřeba interakce od uživatele. Podle společnosti Microsoft je tato zranitelnost již zneužívána!
Při úspěšném zneužití zranitelnosti útočník získá Net-NTLMv2 hash oběti, který lze využít k pohybu v síti napadené organizace. Speciálně upravený e-mail obsahuje UNC path, který odkazuje na SMB server útočníka. Při doručení e-mailu dojde k pokusu o NTLM autentizaci na daný server.
Zranitelnost se týká všech podporovaných verzí Microsoft Outlook pro Windows, které byly vydány před datem 14. březen 2023. Aktualizace, která zabraňuje zneužití této zranitelnosti, již byla vydána. Proto si aktualizaci co nejdříve nainstalujte.
Pokud z nějakého důvodu instalace aktualizace nelze ihned aplikovat, lze zneužití zranitelnosti omezit následovně:
- Přidání uživatelů do Protected Users Security Group, která zabrání autentizaci za pomocí NTLM. Dané opatření ale může mít dopad na autentizaci i do jiných služeb v rámci organizace. Z tohoto důvodu se doporučuje aplikovat pouze na velmi kritické účty z pohledu bezpečnosti, jako jsou například doménové účty. Pro více informací ohledně tohoto doporučení sledujte dokumentaci od společnosti Microsoft odkazovanou níže.
- Blokovat odchozí komunikaci z organizace na port TCP/445.
Zdroj: https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
https://www.nukib.cz/cs/infoservis/hrozby/1945-upozornujeme-na-zranitelnost-cve-2023-23397/
