最近的網絡安全威脅已將數百萬組織置於危險之中,因為關鍵的 Microsoft Outlook for Windows 漏洞。此漏洞 CVE-2023-23397 允許黑客通過遠程電子郵件竊取散列密碼。這使企業面臨敏感數據和系統遭到破壞的危險,從而導致財務損失、聲譽受損和法律責任。
為應對這一威脅,Microsoft 發布了 PowerShell 腳本,管理員可以使用它來檢查其 Exchange 環境中是否有任何用戶受到此 Outlook 漏洞的影響。此腳本可以幫助識別惡意項目並允許管理員清除或永久刪除它們。該腳本還可以修改或刪除受信任的 Exchange 服務器上的潛在有害消息。
但是,此漏洞不容易檢測到,即使使用 PowerShell 腳本,組織仍處於危險之中。 Dominic Chell,MDSec,發現黑客很容易利用此漏洞並使用 Microsoft Outlook 中的日曆竊取 NTLM 哈希值。 Chell 發現,通過使用“PidLidReminderFileParameter” 屬性在收到的郵件項目中,黑客可以添加 UNC 路徑來觸發 NTLM 身份驗證並竊取 NTLM 哈希值。
竊取的 NTLM 哈希值隨後可用於執行 NTLM 中繼攻擊,使黑客能夠訪問公司網絡。攻擊者還可以使用 Microsoft Outlook 任務、註釋或電子郵件收集哈希並針對受信任的 Intranet 區域或站點之外的 IP 地址進行身份驗證。
為了保護您的組織免受這種威脅,立即應用已發布的修復該漏洞,將用戶添加到 Active Directory 中的受保護用戶組,並阻止出站 SMB(TCP 端口 445)作為將攻擊影響降至最低的臨時措施。
組織還應教育員工了解識別網絡釣魚電子郵件和其他可疑消息。這包括尋找奇怪的鏈接、附件或對敏感信息的請求。確保所有軟件和系統定期更新最新的安全補丁至關重要。
組織需要採取積極措施來保護自己免受這種威脅,包括實施 Microsoft 推薦的解決方案和教育員工。公司可以避免成為此漏洞的受害者,並通過保持警惕並採取必要的步驟來保護其敏感數據和系統。