ภัยคุกคามความปลอดภัยทางไซเบอร์ล่าสุดทำให้องค์กรหลายล้านแห่งตกอยู่ในความเสี่ยงเนื่องจาก Microsoft Outlook สำหรับ Windows ที่สำคัญ ช่องโหว่ ช่องโหว่นี้ CVE-2023-23397 ช่วยให้แฮ็กเกอร์สามารถขโมยรหัสผ่านที่แฮชได้โดยการส่งอีเมลจากระยะไกล สิ่งนี้ทำให้ธุรกิจตกอยู่ในอันตรายจากการถูกบุกรุกข้อมูลและระบบที่ละเอียดอ่อน นำไปสู่การสูญเสียทางการเงิน ความเสียหายต่อชื่อเสียง และความรับผิดทางกฎหมาย
เพื่อตอบสนองต่อภัยคุกคามนี้ Microsoft ได้เปิดตัว PowerShell สคริปต์ที่ผู้ดูแลระบบสามารถใช้เพื่อตรวจสอบว่าผู้ใช้ในสภาพแวดล้อม Exchange ของตนได้รับผลกระทบจากช่องโหว่ของ Outlook นี้หรือไม่ สคริปต์นี้สามารถช่วยระบุรายการที่เป็นอันตรายและอนุญาตให้ผู้ดูแลระบบล้างหรือลบออกอย่างถาวร สคริปต์ยังสามารถแก้ไขหรือลบข้อความที่อาจเป็นอันตรายบนเซิร์ฟเวอร์ Exchange ที่เชื่อถือได้
อย่างไรก็ตาม ช่องโหว่นี้ตรวจจับได้ไม่ง่ายนัก และถึงแม้จะมีสคริปต์ PowerShell องค์กรก็ยังมีความเสี่ยง Dominic Chell สมาชิกทีมสีแดงที่ MDSec ค้นพบว่าเป็นเรื่องง่ายสำหรับแฮ็กเกอร์ที่จะใช้ประโยชน์จากข้อบกพร่องนี้และขโมยแฮช NTLM โดยใช้ปฏิทินใน Microsoft Outlook เชลล์พบว่าการใช้ “PidLidReminderFileParameter” คุณสมบัติภายในรายการอีเมลที่ได้รับ แฮ็กเกอร์สามารถเพิ่มเส้นทาง UNC เพื่อเรียกใช้การตรวจสอบสิทธิ์ NTLM และขโมยแฮช NTLM ได้
แฮช NTLM ที่ถูกขโมยสามารถนำไปใช้ในการโจมตี NTLM Relay ทำให้แฮ็กเกอร์สามารถเข้าถึงเครือข่ายขององค์กรได้ ผู้โจมตียังสามารถรวบรวมแฮชและตรวจสอบความถูกต้องกับที่อยู่ IP นอกโซนอินทราเน็ตหรือไซต์ที่เชื่อถือได้โดยใช้งาน บันทึกย่อ หรืออีเมลของ Microsoft Outlook
เพื่อปกป้ององค์กรของคุณจากภัยคุกคามนี้ จำเป็นอย่างยิ่งที่จะต้องนำแฮชที่ปล่อยออกมาไปใช้ทันที แก้ไขช่องโหว่ เพิ่มผู้ใช้ในกลุ่ม Protected Users ใน Active Directory และบล็อก SMB ขาออก (พอร์ต TCP 445) เป็นมาตรการชั่วคราวเพื่อลดผลกระทบจากการโจมตี
องค์กรควรให้ความรู้แก่พนักงานเกี่ยวกับ ระบุอีเมลฟิชชิ่งและข้อความที่น่าสงสัยอื่นๆ ซึ่งรวมถึงการมองหาลิงก์แปลกๆ ไฟล์แนบ หรือคำขอข้อมูลที่ละเอียดอ่อน การตรวจสอบให้แน่ใจว่าซอฟต์แวร์และระบบทั้งหมดได้รับการอัปเดตเป็นประจำด้วยแพตช์ความปลอดภัยล่าสุดเป็นสิ่งสำคัญ
องค์กรจำเป็นต้องดำเนินการเชิงรุกเพื่อป้องกันตนเองจากภัยคุกคามนี้ รวมถึงการใช้โซลูชันที่แนะนำจาก Microsoft และการให้ความรู้แก่พนักงาน บริษัทต่างๆ อาจหลีกเลี่ยงการตกเป็นเหยื่อของช่องโหว่นี้และรักษาความปลอดภัยของข้อมูลและระบบที่ละเอียดอ่อนด้วยการเฝ้าระวังและใช้ขั้นตอนที่จำเป็น