Deze wachtwoordhack betekent dat uw werkgever Microsoft Outlook vandaag nog moet patchen

Hackers zijn voortdurend op zoek naar nieuwe manieren om beveiligde netwerken te infiltreren. Dit is een moeilijke uitdaging omdat alle verantwoordelijke bedrijven investeren in beveiliging. Een methode die echter altijd effectief zal zijn, is het gebruik van nieuwe kwetsbaarheden in populaire softwareproducten.

Er is onlangs een kwetsbaarheid ontdekt in Outlook waardoor hackers wachtwoorden kunnen stelen door simpelweg de accounthouder te e-mailen. Er is een patch uitgebracht, maar veel bedrijven hebben hun versie van Outlook nog niet bijgewerkt.

Dus wat is deze kwetsbaarheid en hoe kunnen bedrijven zich ertegen verdedigen?

Wat is het beveiligingslek in CVE-2023-23397?

Het beveiligingslek CVE-2023-23397 is een beveiligingslek met betrekking tot escalatie van bevoegdheden dat van invloed is op Microsoft Outlook dat op Windows wordt uitgevoerd.

Aangenomen wordt dat deze kwetsbaarheid van april tot december 2022 is gebruikt door actoren van nationale staten tegen een breed scala aan industrieën. In maart 2023 is een patch uitgebracht.

Hoewel het uitbrengen van een patch betekent dat organisaties zich er gemakkelijk tegen kunnen verdedigen, betekent het feit dat er nu veel publiciteit over wordt gemaakt, dat het risico voor bedrijven die geen patch uitbrengen, is toegenomen.

Het is niet ongebruikelijk dat kwetsbaarheden die door natiestaten worden gebruikt, in eerste instantie op grote schaal worden gebruikt door individuele hackers en hackgroepen zodra de beschikbaarheid ervan bekend is.

Wie is het doelwit van het beveiligingslek in Microsoft Outlook?

De kwetsbaarheid CVE-2023-23397 is alleen effectief tegen Outlook dat op Windows draait. Android-, Apple- en internetgebruikers worden niet getroffen en hoeven hun software niet bij te werken.

Het is onwaarschijnlijk dat particulieren worden getarget, omdat dit niet zo winstgevend is als het targeten van een bedrijf. Als een particulier echter Outlook voor Windows gebruikt, moet hij zijn software toch bijwerken.

Bedrijven zijn waarschijnlijk het primaire doelwit omdat velen Outlook voor Windows gebruiken om hun belangrijke gegevens te beschermen. Het gemak waarmee de aanval kan worden uitgevoerd en het aantal bedrijven dat de software gebruikt, betekenen dat de kwetsbaarheid waarschijnlijk populair zal zijn bij hackers.

Hoe werkt de kwetsbaarheid?

Deze aanval gebruikt een e-mail met specifieke eigenschappen die ervoor zorgt dat Microsoft Outlook de NTLM-hash van het slachtoffer onthult. NTLM staat voor New Technology LAN Master en deze hash kan worden gebruikt voor authenticatie op het account van het slachtoffer.

De e-mail verkrijgt de hash door gebruik te maken van een uitgebreide MAPI (Microsoft Outlook Messaging Application Programming Interface) eigenschap die het pad bevat van een Server Message Block-share die wordt beheerd door de aanvaller.

Wanneer Outlook deze e-mail ontvangt, probeert het zichzelf te authenticeren bij de SMB-share met behulp van de NTLM-hash. De hacker die de controle heeft over de SMB-share heeft dan toegang tot de hash.

Waarom is de Outlook-kwetsbaarheid zo effectief?

CVE-2023-23397 is om een ​​aantal redenen een effectieve kwetsbaarheid:

• Outlook wordt gebruikt door een grote verscheidenheid aan bedrijven. Dit maakt het aantrekkelijk voor hackers.
• De kwetsbaarheid CVE-2023-23397 is gemakkelijk te gebruiken en vereist niet veel technische kennis om te implementeren.
• De kwetsbaarheid CVE-2023-23397 is moeilijk te verdedigen. Bij de meeste op e-mail gebaseerde aanvallen moet de ontvanger interactie hebben met de e-mail. Deze kwetsbaarheid is effectief zonder enige interactie. Mede hierdoor opleiden van medewerkers over phishingmails of hen vertellen geen e-mailbijlagen te downloaden (d.w.z. de traditionele methoden om kwaadaardige e-mails te vermijden) heeft geen effect.
• Deze aanval gebruikt geen enkele vorm van malware. Hierdoor wordt het niet opgepikt door beveiligingssoftware.

Wat gebeurt er met slachtoffers van deze kwetsbaarheid?

Door de kwetsbaarheid CVE-2023-23397 kan een aanvaller toegang krijgen tot het account van het slachtoffer. De uitkomst hangt dus af van waartoe het slachtoffer toegang heeft. De aanvaller kan gegevens stelen of start een ransomware-aanval.

Als het slachtoffer toegang heeft tot privégegevens, kan de aanvaller deze stelen. In het geval van klantinformatie, het kan worden verkocht op het dark web. Dit is niet alleen problematisch voor klanten, maar ook voor de reputatie van het bedrijf.

De aanvaller kan mogelijk ook persoonlijke of belangrijke informatie versleutelen met behulp van ransomware. Na een succesvolle ransomware-aanval zijn alle gegevens ontoegankelijk, tenzij het bedrijf de aanvaller losgeld betaalt (en zelfs dan kunnen de cybercriminelen besluiten de gegevens niet te decoderen).

Controleren of u getroffen bent door het beveiligingslek CVE-2023-23397

Als u denkt dat uw bedrijf mogelijk al door dit beveiligingslek is getroffen, kunt u uw systeem automatisch controleren met behulp van een PowerShell-script van Microsoft. Dit script doorzoekt je bestanden en zoekt naar parameters die bij deze aanval worden gebruikt. Nadat u ze hebt gevonden, kunt u ze van uw systeem verwijderen. Het script is toegankelijk viaMicrosoft.

Hoe te beschermen tegen deze kwetsbaarheid

De optimale manier om u tegen dit beveiligingslek te beschermen, is door alle Outlook-software bij te werken. Microsoft heeft op 14 maart 2023 een patch uitgebracht en zodra deze is geïnstalleerd, zijn alle pogingen tot deze aanval niet meer effectief.

Hoewel het patchen van software een prioriteit zou moeten zijn voor alle bedrijven, zijn er andere manieren om te voorkomen dat deze aanval slaagt als dit om de een of andere reden niet lukt. Ze bevatten:

• Blokkeer TCP 445 uitgaand. Deze aanval gebruikt poort 445 en als er via die poort geen communicatie mogelijk is, zal de aanval niet slagen. Als u poort 445 voor andere doeleinden nodig heeft, moet u al het verkeer via die poort controleren en alles blokkeren dat naar een extern IP-adres gaat.
• Voeg alle gebruikers toe aan de Protected User Security Group. Geen enkele gebruiker in deze groep kan NTLM als authenticatiemethode gebruiken. Het is belangrijk op te merken dat dit ook kan interfereren met toepassingen die afhankelijk zijn van NTLM.
• Verzoek dat alle gebruikers de instelling Herinneringen weergeven in Outlook uitschakelen. Dit kan voorkomen dat de aanvaller toegang krijgt tot NTLM-referenties.
• Verzoek dat alle gebruikers de WebClient-service uitschakelen. Het is belangrijk op te merken dat dit alle WebDev-verbindingen verhindert, ook via intranet, en daarom niet noodzakelijkerwijs een geschikte optie is.

U moet patchen tegen de kwetsbaarheid CVE-2023-23397

De kwetsbaarheid CVE-2023-23397 is aanzienlijk vanwege de populariteit van Outlook en de hoeveelheid toegang die het een aanvaller biedt. Bij een succesvolle aanval kan de cyberaanvaller toegang krijgen tot het account van het slachtoffer, dat kan worden gebruikt om gegevens te stelen of te versleutelen.

De enige manier om u goed tegen deze aanval te beschermen, is door de Outlook-software bij te werken met de noodzakelijke patch die Microsoft beschikbaar heeft gesteld. Elk bedrijf dat dit niet doet, is een aantrekkelijk doelwit voor hackers.