Zalecamy podjęcie natychmiastowych działań przez administratorów wszystkich organizacji, których użytkownicy korzystają z poczty poprzez klienta Microsoft Outlook - głosi komunikat Pełnomocnika Rządu ds. Cyberbezpieczeństwa.
Chodzi o krytyczną, czyli łatwą do wykorzystania i o szerokich skutkach, podatność w aplikacji Outlook na systemie Windows. Może ona prowadzić do zdalnego przejęcia konta, bez udziału użytkownika.
"Podatność była aktywnie używana w atakach przeprowadzanych przez jedną z grup powiązanych z rosyjskim rządem od kwietnia 2022 roku, w tym także w Polsce" - podano w komunikacie Pełnomocnika Rządu ds. Cyberbezpieczeństwa.
Jak poinformowano, podatność pozwala na przejęcie kontroli nad kontem użytkownika na dwa sposoby. Jedna metoda pozwala odzyskać hasło poprzez atak słownikowy, czyli taki, który wykorzystuje metodę prób i błędów w celu odkrycia danych logowania. Przeprowadzenie takiego ataku jest łatwiejsze, gdy mamy krótkie hasło – ilość kombinacji do sprawdzenia jest wtedy zwyczajnie mniejsza. Druga metoda pozwala na bezpośrednie użycie sesji użytkownika do zalogowania w innych usługach organizacji.
Do przeprowadzenia ataku wystarczy otrzymanie przez ofiarę odpowiedniej wiadomości e-mail. Nie jest wymagane żadne działanie użytkownika. Atak może zostać przeprowadzony zdalnie. Pozyskane hasło domenowe może być użyte do logowania do innych dostępnych publicznie usług firmowych. Jeśli nie jest wykorzystywane uwierzytelnianie dwuskładnikowe, może to doprowadzić do uzyskania przez atakującego dostępu do sieci firmowej.
Według opublikowanego ostrzeżenia, podatne są wszystkie wersje Microsoft Outlook na platformę Windows. Nie są natomiast podatne wersje na platformy Android, iOS, czy macOS. Usługi chmurowe, takie jak Microsoft 365 również nie są podatne.
Pierwszym krokiem, który powinni podjąć administratorzy to aktualizacja aplikacji zgodnie z wytycznymi na dedykowanej stronie: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397.
KPRM rekomenduje również zapoznanie się z wytycznymi przygotowanymi przez zespół CERT Polska: Aktywnie wykorzystywana krytyczna podatność w Microsoft Outlook (CVE-2023-23397) | CERT Polska
"Warto też przypomnieć, że stosowanie silnych haseł znacząco utrudni wykorzystanie podatności przez cyberprzestępców" - wskazuje komunikat. O tym jak tworzyć takie hasła przeczytać można tutaj: Hasła | CERT Polska.
Istotnym zaleceniem jest także stosowanie uwierzytelniania dwuskładnikowego, w szczególności do usług wystawionych do internetu.
Firma Microsoft udostępniła narzędzie, dzięki któremu organizacje mogą sprawdzić czy jej użytkownicy otrzymali wiadomości umożliwiające wykorzystanie podatności. Jest ono dostępne dla administratorów tutaj.
"W przypadku wykrycia prób wykorzystania podatności konieczne będzie rozpoczęcie procedury obsługi incydentu oraz skontaktowanie się z właściwym zespołem CSIRT" - informuje Biuro Pełnomocnika Rządu ds. Cyberbezpieczeństwa.
js/