Eine aktuelle Cybersicherheitsbedrohung hat Millionen von Unternehmen aufgrund eines kritischen Microsoft Outlook für Windows einem Risiko ausgesetzt Sicherheitslücke ist. Diese Schwachstelle, CVE-2023-23397, ermöglicht es Hackern, gehashte Passwörter zu stehlen, indem sie aus der Ferne E-Mails senden. Dies setzt Unternehmen in Gefahr, dass ihre sensiblen Daten und Systeme kompromittiert werden, was zu finanziellen Verlusten, Reputationsschäden und rechtlichen Verpflichtungen führt.
Als Reaktion auf diese Bedrohung hat Microsoft eine PowerShell Skript , das Administratoren verwenden können, um zu überprüfen, ob Benutzer in ihrer Exchange-Umgebung von dieser Outlook-Sicherheitslücke betroffen sind. Dieses Skript kann dabei helfen, bösartige Elemente zu identifizieren, und es Administratoren ermöglichen, sie zu bereinigen oder dauerhaft zu löschen. Das Skript kann auch potenziell schädliche Nachrichten auf einem vertrauenswürdigen Exchange-Server ändern oder entfernen.
Diese Schwachstelle ist jedoch nicht leicht zu erkennen, und selbst mit dem PowerShell-Skript sind Unternehmen immer noch gefährdet. Dominic Chell, ein rotes Teammitglied bei MDSec, entdeckte, dass es für Hacker einfach ist, diesen Fehler auszunutzen und NTLM-Hashes zu stehlen, indem sie einen Kalender in Microsoft Outlook verwenden. Chell fand dies mithilfe des „PidLidReminderFileParameter“-Eigenschaft in empfangenen E-Mail-Elementen kann ein Hacker einen UNC-Pfad hinzufügen, um die NTLM-Authentifizierung auszulösen und die NTLM-Hashes zu stehlen.
Die gestohlenen NTLM-Hashes können dann verwendet werden, um NTLM-Relay-Angriffe durchzuführen, wodurch Hacker Zugriff auf Unternehmensnetzwerke erhalten. Angreifer können auch Hashes sammeln und sich anhand von Microsoft Outlook-Aufgaben,-Notizen oder-E-Mails bei einer IP-Adresse außerhalb der vertrauenswürdigen Intranetzone oder Sites authentifizieren.
Um Ihr Unternehmen vor dieser Bedrohung zu schützen, ist es entscheidend, die freigegebenen Beheben Sie die Schwachstelle, fügen Sie Benutzer zur Gruppe der geschützten Benutzer in Active Directory hinzu und blockieren Sie ausgehende SMB (TCP-Port 445) als vorübergehende Maßnahme, um die Auswirkungen der Angriffe zu minimieren.
Organisationen sollten auch ihre Mitarbeiter darüber aufklären Identifizierung von Phishing-E-Mails und anderen verdächtigen Nachrichten. Dazu gehört auch, nach seltsamen Links, Anhängen oder Anfragen nach vertraulichen Informationen Ausschau zu halten. Es ist wichtig sicherzustellen, dass alle Software und Systeme regelmäßig mit den neuesten Sicherheitspatches aktualisiert werden.
Unternehmen müssen proaktive Schritte unternehmen, um sich vor dieser Bedrohung zu schützen, einschließlich der Implementierung der empfohlenen Lösungen von Microsoft und der Schulung ihrer Mitarbeiter. Unternehmen können vermeiden, Opfer dieser Schwachstelle zu werden, und ihre sensiblen Daten und Systeme schützen, indem sie wachsam bleiben und die erforderlichen Maßnahmen ergreifen.