/ / Vụ hack mật khẩu này có nghĩa là chủ lao động của bạn cần vá Microsoft Outlook ngay hôm nay

Vụ hack mật khẩu này có nghĩa là chủ lao động của bạn cần vá Microsoft Outlook ngay hôm nay

Tin tặc không ngừng tìm kiếm những cách mới để xâm nhập vào các mạng an toàn. Đây là một thách thức khó khăn vì tất cả các doanh nghiệp có trách nhiệm đều đầu tư vào bảo mật. Tuy nhiên, một phương pháp sẽ luôn hiệu quả là sử dụng các lỗ hổng mới trong các sản phẩm phần mềm phổ biến.


Một lỗ hổng gần đây đã được phát hiện trong Outlook cho phép tin tặc đánh cắp mật khẩu bằng cách gửi email cho chủ tài khoản. Một bản vá lỗi đã được phát hành nhưng nhiều doanh nghiệp vẫn chưa cập nhật phiên bản Outlook của họ.

Vậy lỗ hổng này là gì và các doanh nghiệp có thể chống lại nó như thế nào?


Lỗ hổng CVE-2023-23397 là gì?

Lỗ hổng CVE-2023-23397 là lỗ hổng leo thang đặc quyền ảnh hưởng đến Microsoft Outlook chạy trên Windows.

Lỗ hổng này được cho là đã được các tác nhân quốc gia sử dụng từ tháng 4 đến tháng 12 năm 2022 để chống lại nhiều ngành công nghiệp. Một bản vá đã được phát hành vào tháng 3 năm 2023.

Mặc dù việc phát hành một bản vá có nghĩa là các tổ chức có thể dễ dàng chống lại nó, nhưng thực tế là nó hiện đang được công bố rộng rãi có nghĩa là rủi ro đối với doanh nghiệp không có bản vá đã tăng lên.

Không có gì lạ khi các lỗ hổng được sử dụng bởi các quốc gia ban đầu được sử dụng rộng rãi bởi các tin tặc và nhóm hack riêng lẻ sau khi biết được tính khả dụng của nó.

Ai là mục tiêu của lỗ hổng Microsoft Outlook?

một ổ khóa phía trước nhị phân trên notepad

Lỗ hổng CVE-2023-23397 chỉ hiệu quả đối với Outlook chạy trên Windows. Người dùng Android, Apple và web không bị ảnh hưởng và không cần cập nhật phần mềm của họ.

Các cá nhân không có khả năng bị nhắm mục tiêu vì làm như vậy không mang lại lợi nhuận như nhắm mục tiêu vào một doanh nghiệp. Tuy nhiên, nếu một cá nhân sử dụng Outlook cho Windows, họ vẫn nên cập nhật phần mềm của mình.

Các doanh nghiệp có thể là mục tiêu chính vì nhiều người sử dụng Outlook cho Windows để bảo vệ dữ liệu quan trọng của họ. Mức độ dễ dàng mà cuộc tấn công có thể được thực hiện và số lượng doanh nghiệp sử dụng phần mềm, có nghĩa là lỗ hổng bảo mật có khả năng trở nên phổ biến đối với tin tặc.

Lỗ hổng hoạt động như thế nào?

Cuộc tấn công này sử dụng một email có các thuộc tính cụ thể khiến Microsoft Outlook tiết lộ hàm băm NTLM của nạn nhân. NTLM là viết tắt của New Technology LAN Master và hàm băm này có thể được sử dụng để xác thực tài khoản của nạn nhân.

Email có được hàm băm bằng cách sử dụng thuộc tính MAPI (Giao diện lập trình ứng dụng nhắn tin của Microsoft Outlook) mở rộng có chứa đường dẫn của chia sẻ Khối tin nhắn máy chủ do kẻ tấn công kiểm soát.

Khi Outlook nhận được email này, nó sẽ cố gắng tự xác thực với phần chia sẻ SMB bằng hàm băm NTLM của nó. Sau đó, tin tặc kiểm soát phần chia sẻ SMB có thể truy cập hàm băm.

Tại sao lỗ hổng Outlook lại hiệu quả đến vậy?

CVE-2023-23397 là một lỗ hổng hiệu quả vì một số lý do:

  • Outlook được sử dụng bởi nhiều doanh nghiệp. Điều này làm cho nó hấp dẫn đối với tin tặc.
  • Lỗ hổng CVE-2023-23397 rất dễ sử dụng và không yêu cầu nhiều kiến ​​thức kỹ thuật để thực hiện.
  • Lỗ hổng CVE-2023-23397 rất khó bảo vệ. Hầu hết các cuộc tấn công dựa trên email đều yêu cầu người nhận tương tác với email. Lỗ hổng này có hiệu lực mà không có bất kỳ tương tác nào. Do đó, việc giáo dục nhân viên về email lừa đảo hoặc yêu cầu họ không tải xuống tệp đính kèm email (tức là các phương pháp truyền thống để tránh email độc hại) không có tác dụng.
  • Cuộc tấn công này không sử dụng bất kỳ loại phần mềm độc hại nào. Do đó, nó sẽ không bị phần mềm bảo mật chọn.

Điều gì xảy ra với nạn nhân của tình trạng dễ bị tổn thương này?

máy tính xách tay bị khóa và cờ đầu lâu

Lỗ hổng CVE-2023-23397 cho phép kẻ tấn công có quyền truy cập vào tài khoản của nạn nhân. Do đó, kết quả phụ thuộc vào những gì nạn nhân có quyền truy cập. Kẻ tấn công có thể đánh cắp dữ liệu hoặc khởi động một cuộc tấn công ransomware.

Nếu nạn nhân có quyền truy cập vào dữ liệu riêng tư, kẻ tấn công có thể đánh cắp dữ liệu đó. Trong trường hợp thông tin khách hàng có thể được rao bán trên dark web. Điều này không chỉ gây rắc rối cho khách hàng mà còn ảnh hưởng đến uy tín của doanh nghiệp.

Kẻ tấn công cũng có thể mã hóa thông tin cá nhân hoặc thông tin quan trọng bằng ransomware. Sau một cuộc tấn công ransomware thành công, tất cả dữ liệu sẽ không thể truy cập được trừ khi doanh nghiệp trả tiền chuộc cho kẻ tấn công (và thậm chí sau đó, tội phạm mạng có thể quyết định không giải mã dữ liệu).

Cách kiểm tra xem bạn có bị ảnh hưởng bởi lỗ hổng CVE-2023-23397 hay không

Nếu cho rằng doanh nghiệp của mình có thể đã bị ảnh hưởng bởi lỗ hổng này, bạn có thể tự động kiểm tra hệ thống của mình bằng cách sử dụng tập lệnh PowerShell của Microsoft. Tập lệnh này tìm kiếm các tệp của bạn và tìm kiếm các tham số được sử dụng trong cuộc tấn công này. Sau khi tìm thấy chúng, bạn có thể xóa chúng khỏi hệ thống của mình. Tập lệnh có thể được truy cập thông qua Microsoft.

Làm thế nào để bảo vệ chống lại lỗ hổng này

Cách tối ưu để bảo vệ khỏi lỗ hổng này là cập nhật tất cả phần mềm Outlook. Microsoft đã phát hành một bản vá vào ngày 14 tháng 3 năm 2023 và sau khi được cài đặt, mọi nỗ lực tấn công này sẽ vô hiệu.

Mặc dù việc vá lỗi phần mềm phải là ưu tiên hàng đầu của tất cả các doanh nghiệp, nhưng nếu vì lý do nào đó, điều này không thể đạt được, thì vẫn có những cách khác để ngăn chặn thành công cuộc tấn công này. Chúng bao gồm:

  • Chặn TCP 445 gửi đi. Cuộc tấn công này sử dụng cổng 445 và nếu không thể liên lạc qua cổng đó, cuộc tấn công sẽ không thành công. Nếu bạn yêu cầu cổng 445 cho các mục đích khác, bạn nên theo dõi tất cả lưu lượng truy cập qua cổng đó và chặn mọi thứ đi đến địa chỉ IP bên ngoài.
  • Thêm tất cả người dùng vào Nhóm bảo mật người dùng được bảo vệ. Bất kỳ người dùng nào trong nhóm này không thể sử dụng NTLM làm phương thức xác thực. Điều quan trọng cần lưu ý là điều này cũng có thể ảnh hưởng đến bất kỳ ứng dụng nào dựa trên NTLM.
  • Yêu cầu tất cả người dùng tắt cài đặt Hiển thị lời nhắc trong Outlook. Điều này có thể ngăn kẻ tấn công truy cập thông tin đăng nhập NTLM.
  • Yêu cầu tất cả người dùng tắt dịch vụ WebClient. Điều quan trọng cần lưu ý là điều này sẽ ngăn tất cả các kết nối WebDev bao gồm cả qua mạng nội bộ và do đó không nhất thiết là một tùy chọn phù hợp.

Bạn cần vá lỗ hổng CVE-2023-23397

Lỗ hổng CVE-2023-23397 rất quan trọng do tính phổ biến của Outlook và lượng truy cập mà nó cung cấp cho kẻ tấn công. Một cuộc tấn công thành công cho phép kẻ tấn công mạng có quyền truy cập vào tài khoản của nạn nhân, tài khoản này có thể được sử dụng để đánh cắp hoặc mã hóa dữ liệu.

Cách duy nhất để bảo vệ đúng cách trước cuộc tấn công này là cập nhật phần mềm Outlook với bản vá cần thiết mà Microsoft đã cung cấp. Bất kỳ doanh nghiệp nào không làm như vậy đều là mục tiêu hấp dẫn của tin tặc.

Bài viết liên quan:

  1. 7 ứng dụng tốt nhất cho thanh thiếu niên để quản lý căng thẳng và lo lắng
  2. 6 lý do nên mua iPhone của bạn trực tiếp từ Apple
  3. 11 tính năng tốt nhất trong bản cập nhật Windows 11 22H2
  4. Đánh giá rủi ro di động là gì? 5 lý do chính đáng để thực hiện một

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *