Một lỗ hổng nghiêm trọng trong bộ ứng dụng Microsoft Outlook/365 đang bị hacker lợi dụng, cần được vá khẩn cấp.
CVE-2023-23397 (CVSS: 9.8) cho phép hacker xâm nhập hệ thống chỉ bằng cách gửi email đặc biệt đánh cắp thông tin đăng nhập của người nhận. Microsoft lưu ý: “Email sẽ tự động kích hoạt ngay khi được Outlook client truy xuất và xử lý. Điều này dẫn đến việc khai thác thành công trước khi email được người dùng mở”.
Lỗ hổng ảnh hưởng đến cả phiên bản 32 bit và 64 bit của Microsoft 365 dành cho doanh nghiệp. Office 2013, 2016 và 2019 (cũng như LTSC) cũng dễ bị tấn công. Lỗ hổng được kích hoạt bởi một email độc hại gây ra kết nối từ nạn nhân đến máy tính do hacker kiểm soát. Từ đó, làm rò rit hàm băm Net-NTLMv2 (giao thực được sử dụng để xác thực trong Windows) của nạn nhân cho hacker, sau đó hacker chuyển tiếp mã này đến dịch vụ khác và thực hiện xác thực là nạn nhân.
Biện pháp giảm thiểu lỗ hổng Microsoft Outlook CVE-2023-23397
Mới đây, Microsoft đã phát hành bản cập nhật tháng 3 để khắc phục 80 lỗ hổng bảo mật trong đó có CVE-2023-23397.
Chuyên gia an ninh mạng VNCS Global khuyến nghị người dùng nên cập nhật bản vá mới nhất của Microsoft để khắc phục lỗ hổng nghiêm trọng này. Bên cạnh đó, các tổ chức có thể thêm người dùng vào “Protected Users Security Group” như một biện pháp thay thế tạm thời, đây là nhóm ngăn việc sử dụng NTLM làm cơ chế xác thực. Phương pháp giảm thiểu này giúp khắc phục sự cố dễ dàng hơn là các phương pháp vô hiệu hóa NTLM khác. Vì vậy, cần cân nhắc việc sử dụng phương pháp này đối với các tài khoản có giá trị cao như Domain Admins. Việc này gây ảnh hưởng đến các ứng dụng yêu cầu NTLM khác, tuy nhiên sẽ được khôi phục khi xóa người dùng khỏi nhóm.
Ngoài ra, quản trị viên nên chặn TCP 445/SMB từ mạng nội bộ ra ngoài bằng Firewall và cài đặt VPN.
Theo The hackernews, VNCS Global
————————-