Kyberturvallisuuskeskus on julkaissut haavoittuvuusvaroituksen Microsoftin Outlook-sähköpostisovelluksen Windows-versioista. Käytännössä haavoittuvuus on mahdollistanut toisen ihmisen tunnusten hyväksikäytön tietynlaisen sähköpostiviestin lähettämällä. Microsoft on julkaissut korjaavan päivityksen, joten Outlook-ohjelmistot kannattaa päivittää.
Haavoittuvuus on ollut huomattavan vakava, sillä jo pelkkä sopivan sähköpostin vastaanottaminen on riittänyt tunnistetietojen vuotamiseen. Viesti muodostaa yhteyden uhrilta hyökkääjien hallinnassa olevaan ulkoiseen UNC-sijaintiin. Tämä vuotaa uhrin Net-NTLMv2-tiivisteen hyökkääjälle, joka voi välittää sen toiseen palveluun ja tunnistautua uhrina. Käytännössä viestin vastaanottajan ei edes tarvitse avata minkäänlaisia linkkejä tai käynnistää ohjelmaa tietokoneessaan tietojen vuotamista varten.
Lähde: Kyberturvallisuuskeskus
Hyvä kun näistä uutisoidaan, vaikka rautapainotteinen sivusto onkin. Minäkin käytän töissä Outlookia.
Outlook päivitetään sekä tietokone että mobilii puolella niin tiheästi että on vaikea uskoa että tätä on ehditty käyttämään hyväksi.
Tuota on käytetty jo hyväksi.
Microsoft fixes Outlook zero-day used by Russian hackers since April 2022
http://www.bleepingcomputer.com
Reikiä ei voida paikata ennen kuin ne on löydetty. Päivitykset sisältävät paljon muutakin kuin reikien paikkauksia, esim. täysin turhia uusia ominaisuuksia, jotka kytketään oletuksena päälle ilman, että asiakkaalle annetaan mahdollisuutta poistaa niitä käytöstä.
MS artikkelissa puhutaan lähinnä, että hyökkääjä voisi uudelleenohjata tuon NTLM neuvottelun johonkin toiseen järjestelmään. Eli koskis niitä keillä on AD ja joilla on vielä jostain syystä nettiin auki oleva IIS purkki missä on vielä NTLM kirjautuminen sallittu. Tai sit hyökkääjän pitäs olla jo sisäverkossa ja AD:sta ei ole kielletty NTLM:ää tms.
Tuo – ei tarvitse käynnistää ohjelmaa – niin tarkoittaako sitä että Outlook ohjelman lisäksi ei tarvitse käynnistää muita ohjelmia. Lähinnä sillä jos tietokoneella on haavoittuva versio niin menee hankalaksi päivittää, pitäisi ladata päivitys toisella tietokoneella jne.
Jos sitä että Outlook ohjelma pitää käynnistää, niin sen voi jättää tekemättä, tai tappaa prosessi ja senjälkeen online päiväittää.
Tosin luulisi että jos Exchange palvelu ostettuna niin siellä päässä siivottaisiin tuollaiset tunnetut haitakkeet
Tämä lause viittaa siis siihen, ettei viestin vastaanottajan tarvitse ladata tai käynnistellä mitään sovelluksia tai linkkejä viestistä, vaan tiedot vuotavat suoraan sähköpostiohjelmasta sen viestin välityksellä. Tarkempaa tietoa sen toimintatavasta en valitettavasti osaa tuon Kyberturvallisuuskeskuksen varoituksen perusteella antaa, mutta sieltä voi myös itse lähdelinkin takaa tutustua.
Töissä tuli ilmoitus IT:ltä tästä ongelmasta. Haavoittuvuutta kuulemma oltiin hyödynnetty jo aktiivisesti. Päivityksen olisi pitänyt tulla automaattisesti koneelle välittömästi mutta ainakaan itselle se ei tullut ennen perjantaita. Piti sitten manuaalisesti laittaa päivitys latautumaan
.
Ei tuo haavoittuvuus kotikoneessa hirveästi haittaa muutenkaan. Kyse on siitä, että sen kautta hyökkääjä voi saada haltuunsa kirjautuneen käyttäjän ntlm-hashin ja hyödyntää sitä jossakin muualla. "Pass the hash" -tyyppinen hyväksikäyttömenetelmä siis.
Täällä on hyvä tiivistelmä ja rajoitusvaihtoehdot organisaatioille:
Outlook Elevation of Privilege Vulnerability Leaks Credentials via NTLM
practical365.com
Olennaisimpana sovellusten aktiivisen päivittämisen lisäksi se, ettei organisaation palomuurista pitäisi olla portin 445 auki ulospäin missään tilanteessa ja jos se on oikeaoppisesti kiinni, ei tuota haavoittuvuutta voi käyttää sisäverkon ulkopuolelta.
Tuon EWS-rajapinnan kautta postilaatikoiden yksittäisiä viestejä tutkivan Powershell-skriptin ajaminen isoissa organisaatioissa voi kestää kirjaimellisesti ikuisuuden. Lopputuloksena saa kuitenkin raportin löytyykö käyttäjien postilaatikoista haavoittuvuutta hyväksikäyttäviä meilejä ja tarvittaessa ne voi samalla myös poistaa.
Se ei kuitenkaan kerro onko haavoittuvuutta käytetty todellisuudessa hyväksi, eikä se myöskään kerro sitä onko haavoittuvuuden sisältävä viesti mahdollisesti saapunut ja poistettu käyttäjän itsensä toimesta jo joskus aiemmin.
Niinhän sitä luulisi, mutta ei siivota ainakaan tässä vaiheessa. En osaa sanoa miksi, kun se olisi kuitenkin melko triviaalia. Varmaan joku omituinen tietosuojajuttu taustalla.