Menu dostępności

Krytyczna podatność w MS Outlook

Krytyczna podatność w MS Outlook i Adobe – aktualizacja

W piątek pisaliśmy o krytycznej luce w Outlooku. Artykuł zwracał uwagę przede wszystkim na techniczną stronę podatności i pokazywał, w jaki sposób atakujący może ją wykorzystać. Przedstawiliśmy również demonstrację ataku udokumentowaną przez badaczy z MDSec.

Tymczasem pojawiły się informacje, że exploit, którego celem jest opisywana przez nas luka, hula na wolności. Twierdzi tak zespół ds. analizy zagrożeń Microsoft i obwinia „aktora cyberprzestępczego z siedzibą w Rosji”. Firma podała, że wyśledziła exploit w rosyjskim APT atakującym ograniczoną liczbę organizacji w sektorach rządowym, transportowym, energetycznym i wojskowym w Europie. Podobno sukces Microsoftu był wynikiem współpracy z bliżej nieokreślonym ukraińskim CERT-em.

W chwili pisania tego artykułu nie zidentyfikowano jeszcze aktora.

Problem jest poważny. Microsoft Security Response Center (MSRC) opublikowało wskazówki dotyczące łagodzenia skutków i zaoferowało skrypt CVE-2023-23397, który pomaga w audycie i czyszczeniu.

„Zdecydowanie zalecamy wszystkim klientom aktualizację programu Microsoft Outlook dla systemu Windows, aby zachować bezpieczeństwo” – oświadczyło przedsiębiorstwo.

W nowej dokumentacji MSRC czytamy:

„Aby ustalić, czy Twoja organizacja była celem ataków próbujących wykorzystać tę lukę, firma Microsoft udostępnia dokumentację i skrypt pod tym adresem. Organizacje powinny określić ryzyko związane z tą podatnością. Zadania, wiadomości e-mail i elementy kalendarza, które zostały wykryte i wskazują na nierozpoznany udział, należy przejrzeć, aby określić, czy są złośliwe. W przypadku wykrycia obiektów należy je usunąć lub wyczyścić parametr. Jeśli nie wykryto żadnych obiektów, jest mało prawdopodobne, że organizacja była celem ataku CVE-2023-23397”.

Nowa dokumentacja opisuje błąd CVE-2023-23397 jako krytyczny problem eskalacji uprawnień w programie Microsoft Outlook, wyzwalany, gdy osoba atakująca wysyła wiadomość z rozszerzoną właściwością MAPI ze ścieżką UNC do udziału SMB (TCP 445).

„Nie jest wymagana interakcja użytkownika” – ostrzega Microsoft. Ponieważ luka może zostać wykorzystana ZANIM wiadomość e-mail zostanie wyświetlona w okienku podglądu, zespoły ds. bezpieczeństwa przedsiębiorstwa powinny potraktować wdrożenie tej aktualizacji priorytetowo.

Ten zero day był głównym tematem wyjątkowo obszernego „wtorku poprawek” tydzień temu, w ramach którego wydano łaty dla 80 luk w zabezpieczeniach szerokiej gamy systemów operacyjnych Windows.

Microsoft zgłosił również drugą lukę wymagającą pilnej uwagi – CVE-2023-24880 – i ostrzegł przed hakerami, którzy nadal aktywnie omijają funkcję zabezpieczeń SmartScreen.

Firma walczy o powstrzymanie ataków z pominięciem technologii SmartScreen, która została zamontowana w Microsoft Edge i systemie operacyjnym Windows, aby pomóc chronić użytkowników przed pobieraniem szkodliwego oprogramowania. Jest to istotne, ponieważ zaobserwowano, że operatorzy ransomware Magniber wykorzystującą właśnie tę technikę.

Warto może na końcu dodać, że Microsoft nie jest ze swoimi problemami odosobniony. Adobe również wydało pilne ostrzeżenie o „bardzo ograniczonych atakach” wykorzystujących lukę dnia zerowego w platformie programistycznej aplikacji internetowych Adobe ColdFusion.

Ostrzeżenie Adobe zostało zawarte w poradniku, który zawiera łatki dla wersji ColdFusion 2021 i 2018. „Adobe jest świadomy, że luka CVE-2023-26360 była wykorzystywana na wolności w bardzo ograniczonych atakach wymierzonych w Adobe ColdFusion” – powiedziała firma. Nie podano żadnych innych szczegółów na temat kompromitacji w środowisku naturalnym.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...