Mesmo a segurança de e-mail típica não o protegerá dessa vulnerabilidade inteligente no Outlook. Felizmente, você não está desamparado.

Os hackers estão constantemente procurando novas maneiras de se infiltrar em redes seguras. Este é um desafio difícil porque todas as empresas responsáveis ​​investem em segurança. Um método que sempre será eficaz, no entanto, é o uso de novas vulnerabilidades em produtos de software populares.

Recentemente, foi descoberta uma vulnerabilidade no Outlook que permite que hackers roubem senhas simplesmente enviando um e-mail para o titular da conta. Um patch foi lançado, mas muitas empresas ainda não atualizaram sua versão do Outlook.

Então, o que é essa vulnerabilidade e como as empresas podem se defender dela?

O que é a vulnerabilidade CVE-2023-23397?

A vulnerabilidade CVE-2023-23397 é uma vulnerabilidade de escalonamento de privilégios que afeta o Microsoft Outlook em execução no Windows.

Acredita-se que essa vulnerabilidade tenha sido usada de abril a dezembro de 2022 por agentes do estado-nação contra uma ampla variedade de indústrias. Um patch foi lançado em março de 2023.

instagram viewer

Embora o lançamento de um patch signifique que as organizações podem se defender facilmente contra ele, o fato de que ele agora está sendo amplamente divulgado significa que o risco para os negócios que não usam o patch aumentou.

Não é incomum que vulnerabilidades usadas inicialmente por estados-nação sejam amplamente usadas por hackers individuais e grupos de hackers, uma vez que sua disponibilidade é conhecida.

Quem é o alvo da vulnerabilidade do Microsoft Outlook?

A vulnerabilidade CVE-2023-23397 só é eficaz contra o Outlook em execução no Windows. Usuários de Android, Apple e web não são afetados e não precisam atualizar seus softwares.

É improvável que indivíduos particulares sejam visados ​​porque isso não é tão lucrativo quanto segmentar um negócio. Se um indivíduo particular usar o Outlook para Windows, no entanto, ele ainda deve atualizar seu software.

As empresas provavelmente serão o alvo principal porque muitas usam o Outlook para Windows para proteger seus dados importantes. A facilidade com que o ataque pode ser realizado e a quantidade de empresas que usam o software significam que a vulnerabilidade provavelmente será popular entre os hackers.

Como funciona a vulnerabilidade?

Este ataque usa um e-mail com propriedades específicas que faz com que o Microsoft Outlook revele o hash NTLM da vítima. NTLM significa New Technology LAN Master e esse hash pode ser usado para autenticação na conta da vítima.

O e-mail adquire o hash usando um MAPI estendido (Microsoft Outlook Messaging Application Programming Interface) que contém o caminho de um compartilhamento do Bloco de Mensagens do Servidor que é controlado pelo atacante.

Quando o Outlook recebe esse e-mail, ele tenta se autenticar no compartilhamento SMB usando seu hash NTLM. O hacker no controle do compartilhamento SMB pode acessar o hash.

Por que a vulnerabilidade do Outlook é tão eficaz?

CVE-2023-23397 é uma vulnerabilidade eficaz por vários motivos:

  • O Outlook é usado por uma ampla variedade de empresas. Isso o torna atraente para os hackers.
  • A vulnerabilidade CVE-2023-23397 é fácil de usar e não requer muito conhecimento técnico para ser implementada.
  • A vulnerabilidade CVE-2023-23397 é difícil de se defender. A maioria dos ataques baseados em e-mail exige que o destinatário interaja com o e-mail. Essa vulnerabilidade é eficaz sem qualquer interação. Por isso, educar os funcionários sobre e-mails de phishing ou dizer-lhes para não baixar anexos de e-mail (ou seja, os métodos tradicionais para evitar e-mails maliciosos) não tem efeito.
  • Este ataque não usa nenhum tipo de malware. Por causa disso, ele não será detectado pelo software de segurança.

O que acontece com as vítimas dessa vulnerabilidade?

A vulnerabilidade CVE-2023-23397 permite que um invasor obtenha acesso à conta da vítima. O resultado, portanto, depende do que a vítima tem acesso. O invasor pode roubar dados ou lançar um ataque de ransomware.

Se a vítima tiver acesso a dados privados, o invasor pode roubá-los. No caso de informações de clientes, pode ser vendido na dark web. Isso não é apenas problemático para os clientes, mas também para a reputação da empresa.

O invasor também pode criptografar informações privadas ou importantes usando ransomware. Após um ataque de ransomware bem-sucedido, todos os dados ficam inacessíveis, a menos que a empresa pague ao invasor um pagamento de resgate (e, mesmo assim, os cibercriminosos podem decidir não descriptografar os dados).

Como verificar se você foi afetado pela vulnerabilidade CVE-2023-23397

Se você acha que sua empresa já pode ter sido afetada por esta vulnerabilidade, você pode verificar seu sistema automaticamente usando um script PowerShell da Microsoft. Este script pesquisa seus arquivos e procura parâmetros que são usados ​​neste ataque. Depois de encontrá-los, você pode excluí-los do seu sistema. O script pode ser acessado via Microsoft.

Como se proteger contra essa vulnerabilidade

A maneira ideal de se proteger contra essa vulnerabilidade é atualizar todos os softwares do Outlook. A Microsoft lançou um patch em 14 de março de 2023 e, uma vez instalado, qualquer tentativa desse ataque será ineficaz.

Embora a correção de software deva ser uma prioridade para todas as empresas, se por algum motivo isso não puder ser alcançado, existem outras maneiras de impedir que esse ataque seja bem-sucedido. Eles incluem:

  • Bloqueie a saída TCP 445. Este ataque usa a porta 445 e se nenhuma comunicação for possível através dessa porta, o ataque não terá sucesso. Se você precisar da porta 445 para outras finalidades, deverá monitorar todo o tráfego nessa porta e bloquear qualquer coisa que vá para um endereço IP externo.
  • Adicione todos os usuários ao grupo de segurança de usuário protegido. Qualquer usuário neste grupo não pode usar NTLM como método de autenticação. É importante observar que isso também pode interferir em qualquer aplicativo que dependa do NTLM.
  • Solicite que todos os usuários desativem a configuração Mostrar lembretes no Outlook. Isso pode impedir que as credenciais NTLM sejam acessadas pelo invasor.
  • Solicite que todos os usuários desativem o serviço WebClient. É importante observar que isso impedirá todas as conexões WebDev, inclusive pela intranet e, portanto, não é necessariamente uma opção adequada.

Você precisa corrigir a vulnerabilidade CVE-2023-23397

A vulnerabilidade CVE-2023-23397 é significativa devido à popularidade do Outlook e à quantidade de acesso que ele fornece a um invasor. Um ataque bem-sucedido permite que o ciberataque obtenha acesso à conta da vítima, que pode ser usada para roubar ou criptografar dados.

A única maneira de se proteger adequadamente contra esse ataque é atualizar o software Outlook com o patch necessário que a Microsoft disponibilizou. Qualquer empresa que não o faça é um alvo atraente para os hackers.