NÚKIB: MS Outlook obsahuje zranitelnost

Pomocí upraveného emailu může útočník získat Net-NTLMv2 hash, který mu umožní přístup a nepozorovaný pohyb napříč interní sítí uživatele. Email obsahuje tzv. UNC path, který odkazuje na SMB server útočníka.

Pomocí upraveného emailu může útočník získat Net-NTLMv2 hash, který mu umožní přístup a nepozorovaný pohyb napříč interní sítí uživatele. Email obsahuje tzv. UNC path, který odkazuje na SMB server útočníka. Po doručení zprávy dochází k pokusu o NTLM autentizaci na odkazovaný škodlivý server.

Microsoft tvrdí, že zranitelnost již byla v několika případech zneužita. Vyhodnocení dopadu zranitelnosti umožňuje skript od společnosti Microsoft – dostupný zde.

Zranitelnost se týká všech verzí MS Outlook pro operační systém Windows vydané před 14. březnem 2023. Odstranění zranitelnosti bylo zahrnuto do nejnovější aktualizace Microsoftu. Důrazně doporučujeme všem čtenářům provést aktualizaci OS a balíčku Microsoft Office.

V případě, že okamžitá aktualizace není možná doporučuje NÚKIB provést následující:

• Přidat uživatele do Protected Users Security Group – tímto zabráníte autentizaci pomocí NTLM. Upozorňujeme, že tento krok má dopad na autentizaci i do jiných služeb v rámci organizace. Úřad doporučuje použít pouze na kritické účty z pohledu bezpečnosti (například doménové)
• Blokovat odchozí komunikaci z organizace na port TCP/445

Pokud máte podezření, že někdo zneužil této zranitelnosti ve vaší síti, neprodleně kontaktujte NÚKIB a Policii ČR.

Autor: Ondřej Vanáč, spoluzakladatel CyberBlog.cz
Zdroj: NÚKIB
Foto: Pixabay