Microsoft kısa bir süre önce, Microsoft Outlook’ta etkin yararlanma kapsamında sıfırıncı gün güvenlik açığını yamaladı.
Güvenlik araştırmacıları, CVE-2023-23397’nin yılın en geniş kapsamlı hatası olacak kadar tehlikeli olduğunun artık netleştiğini söylüyor. Sadece üç gün önce ifşa edilmesinden bu yana, olay yerine daha fazla kavram kanıtı (PoC) istismarı yayıldı ve bu da kesinlikle çığ gibi büyüyen suç çıkarlarına dönüşecek – istismar için herhangi bir kullanıcı etkileşiminin gerekli olmaması da buna yardımcı oldu.
Yama uygulamak hızlı bir şekilde mümkün değilse, sorunu çözmek için aşağıda belirtilen bazı seçenekler vardır.
Kolay Kullanım: Kullanıcı Etkileşimi Gerekmez
Güvenlik açığı, saldırganların kurbana kötü amaçlı Outlook notları veya görevleri göndererek NTLM kimlik doğrulama karmalarını çalmasına olanak tanır. Bunlar, Outlook istemcisi tarafından alınıp işlendiğinde otomatik olarak yararlanmayı tetikler; bu da, e-posta Önizleme Bölmesinde görüntülenmeden önce kötüye kullanıma yol açabilir. Başka bir deyişle, bir hedefin bir saldırıya kurban gitmesi için aslında e-postayı açması gerekmez.
Ukrayna’nın Bilgisayar Acil Müdahale Ekibinden (CERT) araştırmacılar ve Microsoft’un kendi araştırmacılarından biri tarafından keşfedilen ve bu haftanın başlarında Microsoft’un Salı Yaması güncellemesinin bir parçası olarak yamalanan hata, bir Exchange sunucusu ve Windows için Outlook masaüstü istemcisi çalıştıranları etkiliyor. Android, iOS, Mac için Outlook ve Web için Outlook (OWA) etkilenmez.
OccamSec’in kurucusu ve CEO’su Mark Stamford, “Dış saldırganlar, kurbandan saldırganların kontrolündeki harici bir UNC konumuna bağlantıya neden olacak özel hazırlanmış e-postalar gönderebilir” diyor. Bu, kurbanın Net-NTLMv2 hash’ini saldırgana sızdıracak, saldırgan bunu başka bir hizmete aktarabilecek ve kurban olarak kimliğini doğrulayabilecek, diye açıklıyor.
Çeşitli Potansiyel İstismar Etkileri
Foretrace’in kurucusu ve CEO’su Nick Ascoli, Microsoft’un suçluların bunu saldırılarında nasıl kullandığından bahsetmese de, yanal hareket için ağ üzerinden diğer bilgisayarlara bağlanmak için çalınan kimlik doğrulamanın yeniden kullanılmasına izin verdiğine dikkat çekiyor.
“Olası saldırılar, kurbanın izinlerine bağlı olarak, veri hırsızlığından potansiyel olarak kötü amaçlı yazılım yüklemeye kadar gidebilir” diyor.
Viakoo CEO’su Bud Broomhead, “muhtemel kurbanlar, iş e-postalarının ele geçirilmesine (BEC) ve kimliklerinin diğer suistimal biçimleri için kullanılmasına en yatkın olanlardır” diyor. Bunun en ciddisinin kimlik yönetimi ve dahili e-posta iletişimine güven olmak üzere potansiyel olarak etkileyebileceği birkaç alan olduğuna dikkat çekiyor.
Broomhead, “Riskler aynı zamanda temel BT sistemlerinin ihlalini, kötü amaçlı yazılımların dağıtımını, finansal kazanç için iş e-postalarının ele geçirilmesini ve iş operasyonlarının ve iş sürekliliğinin kesintiye uğramasını içerir” diye uyarıyor.
Bu, 2023’ün “O” Böceği mi?
Viakoo’dan Broomhead, 2023’ün bu noktasında Microsoft’tan gelebilecek birçok olası “It” hatası olabileceğini, ancak bunun kesinlikle bir yarışmacı olduğunu söylüyor.
“Her türden ve büyüklükteki kuruluşu etkilediğinden, yıkıcı azaltma yöntemlerine sahip olduğundan ve çalışanları bu konuda eğitmek onu durdurmayacağından, bu, hafifletmek ve iyileştirmek için daha fazla çaba gerektiren bir güvenlik açığı olabilir” diye açıklıyor.
Saldırı yüzeyinin en az masaüstü Outlook kullanıcı tabanı (çok büyük) ve potansiyel olarak Windows 365’e bağlı temel BT sistemleri (çok büyük) ve hatta Outlook aracılığıyla gönderilen tüm e-posta alıcıları (hemen hemen herkes) kadar büyük olduğunu belirtiyor.
Daha sonra belirtildiği gibi, dolaşımdaki PoC’ler durumu siber suçlular için daha da çekici hale getiriyor.
Hornetsecurity CEO’su Daniel Hofmann, “Güvenlik açığı herkese açık olduğundan ve kavram kanıtlama talimatları artık iyi bir şekilde belgelendiğinden, diğer tehdit aktörleri güvenlik açığını kötü amaçlı yazılım kampanyalarında benimseyebilir ve daha geniş bir kitleyi hedefleyebilir” diye ekliyor. “Genel olarak, güvenlik açığından yararlanmak basittir ve genel kavram kanıtları GitHub’da ve diğer açık forumlarda zaten bulunabilir.”
İşletmeler ne yapmalı? Broomhead, yama yapmanın ötesine bakmaları gerekebileceği konusunda uyarıyor: “Bu durumda hafifletmek zordur, çünkü e-posta sistemlerinin ve içindeki kullanıcıların yapılandırılma biçiminde kesintiye neden olur.”
CVE-2023-23397’ye Karşı Nasıl Korunulur?
Hemen yama yapamayanlar için Hornetsecurity’den Hofmann, kuruluşu daha iyi korumak için yöneticilerin çevre güvenlik duvarları, yerel güvenlik duvarları ve VPN ayarları kullanarak ağdan İnternet’e giden TCP 445/SMB trafiğini engellemesi gerektiğini söylüyor.
“Bu eylem, NTLM kimlik doğrulama mesajlarının uzak dosya paylaşımlarına iletilmesini önleyerek CVE-2023-23397’nin ele alınmasına yardımcı olur” diye açıklıyor.
Kuruluşlar ayrıca NTLM’yi bir kimlik doğrulama mekanizması olarak engellemek için Active Directory’deki “Korumalı Kullanıcılar Güvenlik Grubu”na kullanıcı eklemelidir.
Broomhead, “Bu yaklaşım, NTLM’yi devre dışı bırakmanın diğer yöntemlerine kıyasla sorun gidermeyi basitleştiriyor” diyor. “Özellikle etki alanı yöneticileri gibi yüksek değerli hesaplar için kullanışlıdır.”
Microsoft’un, mesaj özelliklerinde UNC yollarıyla Exchange mesajlarını tanımlayıp temizlemesi veya kaldırması için bir komut dosyası sağladığına dikkat çekiyor ve yöneticilere güvenlik açığından etkilenip etkilenmediklerini belirlemek ve sorunu gidermek için komut dosyasını uygulamalarını tavsiye ediyor.