Microsoft opublikował informację o krytycznej podatności w aplikacji Outlook na systemie Windows - jest łatwa do wykorzystania, o szerokich skutkach i może prowadzić do zdalnego przejęcia konta, czyli bez udziału użytkownika - napisał w komunikacie pełnomocnik rządu do spraw cyberbezpieczeństwa. Jak podała stacja CNN, dzięki wykorzystaniu podatności, hakerzy powiązani z wywiadem wojskowym Rosji próbowali i w niektórych przypadkach udanie zinfiltrowali sieci używane przez siły zbrojne w Europie, firmy transportowe i energetyczne.
Według CNN oraz branżowego portalu Bleeping Computer koncern Microsoft poinformował swoich klientów o wykryciu podatności w aplikacji e-mailowej Outlook. Dziurę miał pierwszy zauważyć ukraiński zespół CERT.
Dzięki wykorzystaniu podatności rosyjscy hakerzy APT28 (znani także pod nazwami m.in. STRONTIUM i Fancy Bear) mieli uzyskać dostęp do sieci używanych przez "mniej niż 15" organizacji rządowych, wojskowych, transportowych i energetycznych między kwietniem a grudniem 2022 roku.
Luka bezpieczeństwa w popularnym narzędziu do obsługi poczty
"Luka bezpieczeństwa w popularnym narzędziu do obsługi poczty. Zadbaj o bezpieczeństwo w sieci" - wskazano w komunikacie polskiego pełnomocnika rządu do spraw cyberbezpieczeństwa. Dodano, że "podatności, czyli błędy i luki bezpieczeństwa zdarzają się także w powszechnie używanych produktach dużych dostawców". Przy czym akurat wspomniana tutaj "podatność była aktywnie używana w atakach przeprowadzanych przez jedną z grup powiązanych z rosyjskim rządem od kwietnia 2022 roku, w tym także w Polsce".
"Zalecamy podjęcie natychmiastowych działań przez administratorów wszystkich organizacji, których użytkownicy korzystają z poczty poprzez klienta Microsoft Outlook" - zaapelowano.
W komunikacie wyjaśniono, jak działa wspomniana wcześniej podatność. Podkreślono, że "pozwala na przejęcie kontroli nad kontem użytkownika na dwa sposoby".
"Jedna metoda pozwala odzyskać hasło poprzez atak słownikowy, czyli taki, który wykorzystuje metodę prób i błędów w celu odkrycia danych logowania. Przeprowadzenie takiego ataku jest łatwiejsze, gdy mamy krótkie hasło - liczba kombinacji do sprawdzenia jest wtedy zwyczajnie mniejsza" - napisano.
Dodano, że "druga metoda pozwala na bezpośrednie użycie sesji użytkownika do zalogowania w innych usługach organizacji".
"Do przeprowadzenia ataku wystarczy otrzymanie przez ofiarę odpowiedniej wiadomości e-mail. Nie jest wymagane żadne działanie użytkownika. Atak może zostać przeprowadzony zdalnie. Pozyskane hasło domenowe może być użyte do logowania do innych dostępnych publicznie usług firmowych. Jeśli nie jest wykorzystywane uwierzytelnianie dwuskładnikowe, może to doprowadzić do uzyskania przez atakującego dostępu do sieci firmowej" - zaznaczono w komunikacie.
Jak się bronić przed luką bezpieczeństwa w poczcie?
Jak wskazał pełnomocnik rządu do spraw cyberbezpieczeństwa, "podatne są wszystkie wersje Microsoft Outlook na platformę Windows". Natomiast "nie są podatne wersje na platformy Android, iOS czy macOS" oraz "usługi chmurowe, takie jak Microsoft 365".
"Pierwszym krokiem, który powinni podjąć administratorzy to aktualizacja aplikacji zgodnie z wytycznymi na dedykowanej stronie: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397" - napisano w komunikacie.
Przypomniano także, że "stosowanie silnych haseł znacząco utrudni wykorzystanie podatności przez cyberprzestępców", a "istotnym zaleceniem jest także stosowanie uwierzytelniania dwuskładnikowego, w szczególności do usług wystawionych do internetu".
Podano też, jak organizacje mogą sprawdzić swoje bezpieczeństwo. "Firma Microsoft udostępniła narzędzie, dzięki któremu organizacje mogą sprawdzić czy jej użytkownicy otrzymali wiadomości umożliwiające wykorzystanie podatności. Jest ono dostępne dla administratorów tutaj: https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/" - wyjaśniono.
"W przypadku wykrycia prób wykorzystania podatności konieczne będzie rozpoczęcie procedury obsługi incydentu oraz skontaktowanie się z właściwym zespołem CSIRT" - podkreślono w komunikacie.
Internetowe oszustwa i fałszywe strony
Cyberprzestępcy nie ustają w swoich działaniach. Informowaliśmy o kilku kampaniach, w których podszywają się pod duże banki.
W tym tygodniu zespół cyberbezpieczeństwa w Komisji Nadzoru Finansowego (CSIRT KNF) ostrzegał przed oszustami, którzy zamieszczają fałszywe reklamy z informacją o odszkodowaniu za szczepienie.
Cyberprzestępcy stworzyli reklamy, w których wykorzystują wizerunek Santander Bank Polska, prowadzące do "niebezpiecznych stron".
PKO BP opublikował ostrzeżenie przed oszustami, którzy próbują wyłudzić dane klientów. Cyberprzestępcy publikują na portalach społecznościowych reklamy zachęcające do inwestowania w PKOCoin.
Przed złodziejami przestrzegał też mBank, gdyż przestępcy wykorzystywali jego wizerunek, wysyłając maile z informacją o potwierdzeniu rzekomej płatności SWIFT. Wcześniej CSIRT KNF ostrzegał, że oszuści wykorzystują wizerunek Banku BNP Paribas.
Źródło: TVN24 Biznes, PAP
Źródło zdjęcia głównego: fizkes/Shutterstock