Kyberturvallisuuskeskus on julkaissut haavoittuvuusvaroituksen Microsoftin Outlook-sähköpostisovelluksen Windows-versioista. Käytännössä haavoittuvuus on mahdollistanut toisen ihmisen tunnusten hyväksikäytön tietynlaisen sähköpostiviestin lähettämällä. Microsoft on julkaissut korjaavan päivityksen, joten Outlook-ohjelmistot kannattaa päivittää.
Haavoittuvuus on ollut huomattavan vakava, sillä jo pelkkä sopivan sähköpostin vastaanottaminen on riittänyt tunnistetietojen vuotamiseen. Viesti muodostaa yhteyden uhrilta hyökkääjien hallinnassa olevaan ulkoiseen UNC-sijaintiin. Tämä vuotaa uhrin Net-NTLMv2-tiivisteen hyökkääjälle, joka voi välittää sen toiseen palveluun ja tunnistautua uhrina. Käytännössä viestin vastaanottajan ei edes tarvitse avata minkäänlaisia linkkejä tai käynnistää ohjelmaa tietokoneessaan tietojen vuotamista varten.
Lähde: Kyberturvallisuuskeskus
Hyvä kun näistä uutisoidaan, vaikka rautapainotteinen sivusto onkin. Minäkin käytän töissä Outlookia.
Outlook päivitetään sekä tietokone että mobilii puolella niin tiheästi että on vaikea uskoa että tätä on ehditty käyttämään hyväksi.
Tuota on käytetty jo hyväksi.
data-unfurl="true" data-result-id="438573" data-url="https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-outlook-zero-day-used-by-russian-hackers-since-april-2022/" data-host="www.bleepingcomputer.com" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
Microsoft fixes Outlook zero-day used by Russian hackers since April 2022
data-onerror="hide-parent"/>
http://www.bleepingcomputer.com
Reikiä ei voida paikata ennen kuin ne on löydetty. Päivitykset sisältävät paljon muutakin kuin reikien paikkauksia, esim. täysin turhia uusia ominaisuuksia, jotka kytketään oletuksena päälle ilman, että asiakkaalle annetaan mahdollisuutta poistaa niitä käytöstä.
MS artikkelissa puhutaan lähinnä, että hyökkääjä voisi uudelleenohjata tuon NTLM neuvottelun johonkin toiseen järjestelmään. Eli koskis niitä keillä on AD ja joilla on vielä jostain syystä nettiin auki oleva IIS purkki missä on vielä NTLM kirjautuminen sallittu. Tai sit hyökkääjän pitäs olla jo sisäverkossa ja AD:sta ei ole kielletty NTLM:ää tms.
Tuo – ei tarvitse käynnistää ohjelmaa – niin tarkoittaako sitä että Outlook ohjelman lisäksi ei tarvitse käynnistää muita ohjelmia. Lähinnä sillä jos tietokoneella on haavoittuva versio niin menee hankalaksi päivittää, pitäisi ladata päivitys toisella tietokoneella jne.
Jos sitä että Outlook ohjelma pitää käynnistää, niin sen voi jättää tekemättä, tai tappaa prosessi ja senjälkeen online päiväittää.
Tosin luulisi että jos Exchange palvelu ostettuna niin siellä päässä siivottaisiin tuollaiset tunnetut haitakkeet
Tämä lause viittaa siis siihen, ettei viestin vastaanottajan tarvitse ladata tai käynnistellä mitään sovelluksia tai linkkejä viestistä, vaan tiedot vuotavat suoraan sähköpostiohjelmasta sen viestin välityksellä. Tarkempaa tietoa sen toimintatavasta en valitettavasti osaa tuon Kyberturvallisuuskeskuksen varoituksen perusteella antaa, mutta sieltä voi myös itse lähdelinkin takaa tutustua.
Töissä tuli ilmoitus IT:ltä tästä ongelmasta. Haavoittuvuutta kuulemma oltiin hyödynnetty jo aktiivisesti. Päivityksen olisi pitänyt tulla automaattisesti koneelle välittömästi mutta ainakaan itselle se ei tullut ennen perjantaita. Piti sitten manuaalisesti laittaa päivitys latautumaan .
Ei tuo haavoittuvuus kotikoneessa hirveästi haittaa muutenkaan. Kyse on siitä, että sen kautta hyökkääjä voi saada haltuunsa kirjautuneen käyttäjän ntlm-hashin ja hyödyntää sitä jossakin muualla. "Pass the hash" -tyyppinen hyväksikäyttömenetelmä siis.
Täällä on hyvä tiivistelmä ja rajoitusvaihtoehdot organisaatioille:
data-unfurl="true" data-result-id="439744" data-url="https://practical365.com/cve-2023-23397-ntlm-vulnerability/" data-host="practical365.com" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
Outlook Elevation of Privilege Vulnerability Leaks Credentials via NTLM
data-onerror="hide-parent"/>
practical365.com
Olennaisimpana sovellusten aktiivisen päivittämisen lisäksi se, ettei organisaation palomuurista pitäisi olla portin 445 auki ulospäin missään tilanteessa ja jos se on oikeaoppisesti kiinni, ei tuota haavoittuvuutta voi käyttää sisäverkon ulkopuolelta.
Kommentoi uutista tai artikkelia foorumilla (Kommentointi sivuston puolella toistakseksi pois käytöstä)
Lähetä palautetta / raportoi kirjoitusvirheestä