Microsoft Outlook’ta tehdit aktörleri tarafından aktif olarak istismar edilen CVE-2023-23397 adlı kritik bir güvenlik açığının keşfedilmesine yanıt olarak Cisco Talos, tüm Outlook kullanıcılarını güvenlik açığı keşfedildikten sonra e-posta istemcilerini mümkün olan en kısa sürede güncellemeye davet ediyor. .
Microsoft daha sonra faaliyetlerin Rus kökenli aktörler tarafından gerçekleştirildiğini ve sınırlı sayıda kuruluşa yönelik hedefli saldırılarda kullanıldığını tespit etti.
Bu güvenlik açığından yararlanılması sonucunda saldırılar, Nisan ortası ile Aralık 2022 arasında gerçekleştirildi. Bu süre zarfında, tehdit aktörleri aşağıdakilerle ilgili yaklaşık 15 kritik kuruluşun ağlarını hedef aldı ve ihlal etti:-
- Devlet
- Askeri
- Enerji
- Toplu taşıma
Bilgisayar korsanları, NTLM karmalarını çalmak için hedeflenen cihazlara kötü amaçlı Outlook notları ve görevleri göndererek, onları karmaları paylaşan, saldırgan tarafından kontrol edilen SMB’de kimlik doğrulaması yapmaya zorladı.
Kusur Ayrıntıları
CVE-2023-23397 güvenlik açığı, Windows işletim sisteminde çalışan tüm Microsoft Outlook ürünlerini etkiler. Bu, NTLM’deki bir güvenlik açığıdır ve bir ayrıcalık yükseltme güvenlik açığı yoluyla bir kuruluşa varlıklı erişim elde etmek için kimlik bilgisi hırsızlığı için kullanılabilir.
- CVE Kimliği: CVE-2023-23397
- Piyasaya sürülmüş: 14 Mart 2023, Son güncelleme: 15 Mart 2023
- Darbe: Ayrıcalığın Yükselmesi
- Özet: Microsoft Outlook’ta Ayrıcalık Yükselmesi Güvenlik Açığı
- önem derecesi: kritik
- CVSS Puanı: 9.8
Tehdit aktörleri, “PidLidReminderFileParameter” genişletilmiş MAPI özelliğini içeren e-postalar, takvim davetleri veya görevler oluşturabilir.
“PidLidReminderFileParameter”, istemcinin bir nesne için hatırlatıcının süresi dolduğunda çalınacak sesin dosya adını belirlemesine olanak tanır.
Bu PidLidReminderFileParameter özelliği, saldırgan tarafından bir Evrensel Adlandırma Kuralı (UNC) aracılığıyla kendisi tarafından kontrol edilen SMB paylaşımına giden yolu belirtmek için kullanılır.
Saldırgan, savunmasız bir sistem tarafından gönderilen Net-NTLMv2 hash’ini kullanarak başka bir sisteme NTLM Relay saldırısı oluşturabilir.
Azaltmalar
Sonuç olarak, Microsoft araştırmacıları, kuruluşların kendilerini bu tür bir siber saldırıdan korumak için bir önlem olarak izlemesi gereken bazı önemli önlemleri onayladı: –
- Microsoft’un sağladığı yamayı mümkün olan en kısa sürede yüklemek, bu güvenlik açığını gidermek için ideal olacaktır.
- NTLM’nin bir kimlik doğrulama yöntemi olarak kullanılmasını önlemek için, kullanıcıların Korumalı Kullanıcılar Güvenlik Grubunu kullanması gerekir.
- NTLM mesajlarının ağdan çıkmasını önlemek için ağınızdan giden TCP/445 bağlantı noktasını engellemeniz çok önemlidir.
- Microsoft tarafından yayınlanan bir komut dosyası, yöneticilere PidLidReminderFileParameters’ın Evrensel Adlandırma Kuralı (UNC) yollarına ayarlanmış mesajlaşma öğeleri için Exchange sunucularını denetleme yeteneği sağlar.
- Yöneticiler, bu betiğin yardımıyla mülkü temizlemeli ve kötü amaçlı öğeleri kaldırmalı veya hatta gerekliyse öğeleri kalıcı olarak silmelidir.
Windows’ta Microsoft Outlook, uygulamanın tüm sürümlerini etkileyen 9,8 önem derecesi ile bu ayrıcalık yükseltme güvenlik açığından etkilenir.
Saldırgan, hedefe kötü amaçlı bir e-posta göndererek bu güvenlik açığını kullanarak birkaç saniye içinde NTLM kimlik bilgilerini çalabilir.
Outlook her açıldığında, sistemde hatırlatıcı görüntülenir ve istismar otomatik olarak gerçekleştiği için kullanıcıyla herhangi bir etkileşim gerekmez.
Kısacası, güvenlik analistleri tarafından, herhangi bir saldırıyı etkili bir şekilde önlemek için yöneticilerin önerilen tüm azaltıcı önlemleri hemen uygulaması ve kontrol etmesi şiddetle tavsiye edilir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin
İlgili Okuma: