Uma ameaça recente à segurança cibernética colocou milhões de organizações em risco devido a um problema crítico do Microsoft Outlook para Windows vulnerabilidade. Essa vulnerabilidade, CVE-2023-23397, permite que hackers roubem senhas com hash por e-mail remotamente. Isso coloca as empresas em risco de ter seus dados e sistemas confidenciais comprometidos, levando a perdas financeiras, danos à reputação e responsabilidades legais.
Em resposta a essa ameaça, a Microsoft lançou um PowerShell script que os administradores podem usar para verificar se algum usuário em seu ambiente do Exchange foi afetado por esta vulnerabilidade do Outlook. Este script pode ajudar a identificar itens maliciosos e permitir que os administradores os eliminem ou excluam permanentemente. O script também pode modificar ou remover mensagens potencialmente prejudiciais em um servidor Exchange confiável.
No entanto, essa vulnerabilidade não é fácil de detectar e, mesmo com o script do PowerShell, as organizações ainda correm risco. Dominic Chell, um membro da equipe vermelha em MDSec, descobriu que é fácil para os hackers explorar esse bug e roubar hashes NTLM usando um calendário no Microsoft Outlook. Chell descobriu que usando o “PidLidReminderFileParameter” nos itens de correio recebidos, um hacker pode adicionar um caminho UNC para acionar a autenticação NTLM e roubar os hashes NTLM.
Os hashes NTLM roubados podem então ser usados para executar ataques NTLM Relay, dando aos hackers acesso a redes corporativas. Os invasores também podem coletar hashes e autenticar em um endereço IP fora da zona ou sites confiáveis da intranet usando tarefas, notas ou e-mails do Microsoft Outlook.
Para proteger sua organização contra essa ameaça, é crucial aplicar imediatamente as corrigir a vulnerabilidade, adicionar usuários ao grupo Usuários Protegidos no Active Directory e bloquear SMB de saída (porta TCP 445) como uma medida temporária para minimizar o impacto dos ataques.
As organizações também devem educar os funcionários sobre identificar e-mails de phishing e outras mensagens suspeitas. Isso inclui procurar links estranhos, anexos ou solicitações de informações confidenciais. Garantir que todos os softwares e sistemas sejam atualizados regularmente com os patches de segurança mais recentes é essencial.
As organizações precisam tomar medidas proativas para se protegerem dessa ameaça, incluindo a implementação das soluções recomendadas da Microsoft e a educação de seus funcionários. As empresas podem evitar se tornar vítimas dessa vulnerabilidade e proteger seus dados e sistemas confidenciais mantendo-se vigilantes e adotando as etapas necessárias.