Microsoft Outlook của bạn là cổng email phổ biến với nhiều người, nhưng nếu đó cũng là cửa ngõ dẫn đến các mối đe dọa an ninh mạng, bạn cần phải làm gì để khắc phục và bảo vệ bản thân khỏi chúng. Microsoft phát hiện lỗ hổng zero-day trong Outlook email, cho phép kẻ tấn công đánh cắp NTLM hash và truy cập dữ liệu nhạy cảm.
Lỗ hổng zero-day trong Outlook cho phép tấn công NTLM-relay zero-click
Microsoft đã phát hành một hướng dẫn mới giúp người dùng xác định liệu có kẻ tấn công lấy cắp dữ liệu nhạy cảm bằng cách khai thác một lỗ hổng zero-day đã được vá gần đây. Lỗ hổng zereo-day được tìm thấy trong phần mềm email Outlook của Microsoft.
Lỗ hổng này có mã CVE-2023-23397, và được mô tả là một lỗ hổng bảo mật tăng quyền trên Windows, cho phép kẻ tấn công đánh cắp các NTLM hash mà không cần nạn nhân tương tác với phía đối tác của họ. Cuộc tấn công này được gọi là cuộc tấn công zero-click NTLM-relay.
Tarlogic mô tả các NTLM hash như là “định dạng mật mã” mà Windows lưu trữ mật khẩu người dùng. Các hash này được lưu trữ trong tệp SAM (Quản lý Tài khoản Bảo mật) hoặc tệp NTDS của một điều khiển miền. “Chúng là một phần cơ bản của cơ chế được sử dụng để xác thực một người dùng thông qua các giao thức truyền thông khác nhau,” Tarlogic nói.
Xuất hiện nhiều tín hiệu báo động cho thấy nguy cơ bị tấn công
Để khai thác lỗ hổng và đánh cắp những chuỗi NTLM, kẻ tấn công có thể gửi một tin nhắn được tạo ra đặc biệt, chứa các thuộc tính MAPI mở rộng. Điều này sẽ chứa các đường dẫn UNC (đường dẫn định danh chung, được sử dụng để truy cập tài nguyên mạng) đến các SMB share được điều khiển bởi kẻ tấn công.
Hiện Microsoft cho biết đã phát hiện nhiều tín hiệu báo động cho thấy có thể đã xảy ra tấn công, các đội IT có thể phân tích dữ liệu telemetries từ các tường lửa, proxy, công cụ VPN, nhật ký cổng RDP Gateway, nhật ký đăng nhập Azure Active Directory cho người dùng Exchange Online hoặc nhật ký IIS cho Exchange Server. Họ cũng có thể tìm kiếm dữ liệu như nhật ký sự kiện Windows hoặc dữ liệu telemetries từ các giải pháp phát hiện và phản ứng điểm cuối.
Thường thì kẻ tấn công sẽ nhắm vào người dùng Exchange EWS/OWA và tìm cách thay đổi quyền truy cập thư mục hộp thư để truy cập lâu dài. Những đội IT cũng có thể tìm kiếm những dấu hiệu này.
“Để khắc phục lỗ hổng này, bạn phải cài đặt bản cập nhật bảo mật Outlook, bất kể thư của bạn được lưu trữ ở đâu (ví dụ: Exchange Online, Exchange Server, hoặc nền tảng khác) hoặc hỗ trợ xác thực NTLM của tổ chức của bạn,” đội phản ứng sự cố của Microsoft cho biết.
Cuối cùng, công ty cũng phát hành một tập lệnh giúp các quản trị viên tự động hóa quá trình và xác định xem liệu có bất kỳ người dùng Exchange nào bị tấn công.