Microsoft Outlook to rozbudowana aplikacja, która przede wszystkim pełni funkcję skrzynki poczty elektronicznej. Za jej pomocą można również prowadzić kalendarz i zarządzać zadaniami. Dzięki swoim funkcjom jest niezwykle popularnym narzędziem używam w wielu organizacjach.
DOSTAWCA POINFORMOWAŁ O WYKRYCIU LUKI W ZABEZPIECZENIU
14 marca br. dostawca Outlook, czyli firma Microsoft na swojej oficjalnej stronie internetowej opublikowała wpis, w którym poinformowała o wykryciu luki w zabezpieczeniach programu dla systemu Windows. Podatność umożliwia zdalne przejęcie hasła. Co istotne, do kradzieży nie jest potrzebna żadna interakcja użytkownika.
Jest to możliwe dzięki przechwyceniu protokołu NTLMv2, służącego do uwierzytelniania sieciowego. Następnie hasło jest pozyskiwane za pomocą ataku. Może on polegać na wysłaniu do ofiary wiadomości mailowej zawierającej spreparowane wydarzenia kalendarza lub zadanie. W wyniku otrzymania e-maila uruchomiona zostaje ścieżka UNC dostępu do zasobów sieciowych, która jest kontrolowana przez atakującego.
PRZECHWYCONE HASŁO MOŻE BYĆ WYKORZYSTANE DO ZALOGOWANIA SIĘ DO INNYCH APLIKACJI
Warto pamiętać, że przechwycone hasło może być przez użyte do zalogowania się do innych usług. W przypadku korzystania z VPN firmowego może dojść do przechwycenia danych organizacji. Aby się przed tym uchronić zaleca się korzystanie z uwierzytelniania dwuskładnikowego. Wówczas w sytuacji przechwycenia hasła jednego z pracowników atakujący nie będzie miał możliwości dostępu do danych organizacji.
KTO JEST NARAŻONY NA ATAK
Według informacji podanych przez Microsoft podatność dotyczy jedynie użytkowników Outlooka dla systemu Windows. Użytkownicy innych wersji programu (m.in. IOS, Mac, Android lub wersji webowej) nie są narażeni na tego typu atak.
REKOMENDACJE
Wszystkim Windowsowym użytkownikom Outlooka zaleca się niezwłoczną aktualizację aplikacji zgodnie z wytycznymi Microsoftu.
Ponadto Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CERT Polska) zaleca stosowanie tymczasowych obejść i ogólnych rekomendacji, jeżeli aktualizacja aplikacji zgodnie z wytycznymi Microsoftu nie jest możliwa.
SPRAWDZENIE CZY ORGANIZACJA PADŁA OFIARĄ ATAKU
Microsoft udostępnił narzędzie, jakim jest skrypt Powershell. Za pomocą tego narzędzia administratorzy mogą sprawdzić, bez ingerencji w skrzynki mailowe pracowników, czy nie wpłynęła na nie wiadomość umożliwiająca wykorzystanie podatności. Jak podaje CERT Polska „Jeżeli narzędzie wykaże obiekty z podanymi zewnętrznymi ścieżkami UNC, może to oznaczać, że Państwa organizacja padła ofiarą ataku”.
W sytuacji, kiedy pracownicy sami zauważą otrzymanie podejrzanej wiadomości powinni jak najszybciej zgłosić incydent do IT. Jednak z uwagi na charakter e-maila wyglądającego jak „niewinne” przypomnienie o wydarzeniu lub zadaniu, atak jest trudny do wykrycia.