Blog

  • Domů
  • Blog
  • CVE-2023-23397 – bug roku?

CVE-2023-23397 – bug roku?

Lidé z oboru si asi všimli, ale ostatní možná ne - před 10 dny se objevil patch na tuto chybu, která se v originálu jmenuje Microsoft Outlook Elevation of Privilege Vulnerability [3], postihuje vše od M365 po Outlook 2013 SP1 (viz. seznam níže), a má skóre 9.8. Ano, na stupnici od jedné do deseti. Chyba samotná se ale objevila mnohem dříve a byla zneužívána od loňského dubna ruskými hackerskými skupinami s vazbami na GRU [1]

O co v chybě jde?

Útočník vytvoří speciální e-mail, který, jakmile je nahrán a zpracován Outlook klientem (bez zásahu uživatele!), vytvoří spojení od oběti k útočníkovi a zašle mu uživatelův NTLM hash. Ten slouží jako jakýsi klíč k dalším systémům. Tato technika se obecně jmenuje NTLM Relay attack. S NTLM hashí může útočník používat další služby, ke kterým má uživatel přístup. V reálu to vypadá tak, že dostanete „speciální“ pozvánku do kalendáře. Až ji uvidíte, už je pozdě…

V reálu to vypadá tak, že dostanete „speciální“ pozvánku do kalendáře. Až ji uvidíte, už je pozdě…

Dotčené verze [2]

  • Microsoft Outlook 2016 (64-bit edition)
  • Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
  • Microsoft Outlook 2013 RT Service Pack 1
  • Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft Outlook 2016 (32-bit edition)
  • Microsoft Office LTSC 2021 for 32-bit editions

Jak se bránit?

Záplatujte, opravy byly vydány. S vydáním záplaty se objevilo mnoho PoC skriptů a také skupin, které tento vektor zahrnuly do běžné operativy. Pokud budete hledat „CVE-2023-23397 site:github.com“, naleznete desítky ukázkových skriptů.

Mimo toho jsou dva další dobré způsoby, jak lze útok překazit:

  • Blokování odchozího portu 445/SMB mimo Vaši síť. Tím zajistíte, že se NTLM nedostane mimo Vaše zařízení.
  • Přidejte uživatele do chráněné skupiny, která zabrání použití NTLM pro autentizaci. Minimálně tak učiňte pro uživatele s vyššími oprávněními a určitě pro doménové administrátory.

Závěr

Blokace nepotřebných odchozích portů obecně není špatná praktika a může chránit i před dalšími chybami, které dnes ještě neznáme. Odhadujeme, že tuto chybu budou útočníci zneužívat ještě hodně dlouho, protože pravidelné aktualizace stále nejsou u mnohých standardem. Pro doplnění, před touto chybou varoval jen s denním zpožděním na svých stránkách i NÚKIB [4].

Zdroje:
[1] Surur, “Microsoft Patches Zero-Day Flaw in Outlook Exploited by Russian Hackers,” Mar. 16, 2023. [Online]. Available: https://www.bigtechwire.com/2023/03/16/microsoft-patches-zero-day-flaw-in-outlook-exploited-by-russian-hackers/. [Accessed: Mar. 24, 2023]
[2] KS Threat Research, “CVE-2023-23397 – Microsoft Outlook Privilege Elevation Critical Vulnerability,” Kudelski Security Research, Mar. 15, 2023. [Online]. Available: https://research.kudelskisecurity.com/2023/03/15/cve-2023-23397-microsoft-outlook-privilege-elevation-critical-vulnerability/. [Accessed: Mar. 24, 2023]
[3] CVE-2023-23397 Available: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397 [Accessed: Mar 24, 2023]
[4] Available: https://www.nukib.cz/cs/infoservis/hrozby/1945-upozornujeme-na-zranitelnost-cve-2023-23397/ [Accessed: Mar 24, 2023]