خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

این هک رمز عبور به این معنی است که کارفرمای شما باید امروز Microsoft Outlook را اصلاح کند

ارشیا یوسفی ادیب ۲۳ فروردین, ۱۴۰۲ 5 min read

حتی امنیت ایمیل معمولی نیز از شما در برابر این آسیب پذیری هوشمندانه در Outlook محافظت نمی کند. خوشبختانه، شما درمانده نیستید.

هکرها دائما به دنبال راه های جدیدی برای نفوذ به شبکه های امن هستند. این یک چالش دشوار است زیرا همه مشاغل مسئول در امنیت سرمایه گذاری می کنند. یکی از روش هایی که همیشه موثر خواهد بود، استفاده از آسیب پذیری های جدید در محصولات نرم افزاری محبوب است.

اخیراً یک آسیب‌پذیری در Outlook کشف شده است که به هکرها اجازه می‌دهد رمزهای عبور را با ارسال ایمیل به صاحب حساب به سرقت ببرند. یک پچ منتشر شده است، اما بسیاری از کسب و کارها هنوز نسخه Outlook خود را به روز نکرده اند.

بنابراین این آسیب‌پذیری چیست و چگونه کسب‌وکارها می‌توانند در برابر آن دفاع کنند؟

آسیب پذیری CVE-2023-23397 چیست؟

آسیب‌پذیری CVE-2023-23397 یک آسیب‌پذیری افزایش امتیاز است که بر روی Microsoft Outlook در حال اجرا در ویندوز تأثیر می‌گذارد.

اعتقاد بر این است که این آسیب پذیری از آوریل تا دسامبر 2022 توسط بازیگران دولت ملی علیه طیف گسترده ای از صنایع استفاده شده است. یک پچ در مارس 2023 منتشر شد.

در حالی که انتشار یک وصله به این معنی است که سازمان ها می توانند به راحتی در برابر آن دفاع کنند، این واقعیت که اکنون به شدت در حال تبلیغ است به این معنی است که خطر برای مشاغلی که وصله نمی کنند افزایش یافته است.

غیرمعمول نیست که آسیب‌پذیری‌هایی که توسط دولت‌های ملی مورد استفاده قرار می‌گیرند، در ابتدا به‌طور گسترده توسط هکرها و گروه‌های هکر، پس از مشخص شدن در دسترس بودن، مورد استفاده قرار می‌گیرند.

آسیب‌پذیری Microsoft Outlook چه کسی را هدف قرار می‌دهد؟

یک قفل در مقابل باینری روی یک دفترچه یادداشت

آسیب پذیری CVE-2023-23397 فقط در برابر Outlook که در ویندوز اجرا می شود مؤثر است. کاربران اندروید، اپل و وب تحت تأثیر قرار نمی‌گیرند و نیازی به به‌روزرسانی نرم‌افزار خود ندارند.

بعید است که افراد خصوصی مورد هدف قرار گیرند زیرا انجام این کار به اندازه هدف قرار دادن یک تجارت سودآور نیست. با این حال، اگر فردی خصوصی از Outlook برای ویندوز استفاده می کند، همچنان باید نرم افزار خود را به روز کند.

مطلب مرتبط:   کلاهبرداری دوستانه چیست و چگونه از آن جلوگیری می کنید؟

احتمالاً کسب‌وکارها هدف اصلی هستند زیرا بسیاری از Outlook برای ویندوز برای محافظت از داده‌های مهم خود استفاده می‌کنند. سهولت انجام حمله و تعداد مشاغلی که از این نرم افزار استفاده می کنند، به این معنی است که این آسیب پذیری احتمالاً در بین هکرها محبوب خواهد بود.

آسیب پذیری چگونه کار می کند؟

این حمله از یک ایمیل با ویژگی های خاص استفاده می کند که باعث می شود Microsoft Outlook هش NTLM قربانی را فاش کند. NTLM مخفف New Technology LAN Master است و این هش را می توان برای احراز هویت به حساب قربانی استفاده کرد.

ایمیل هش را با استفاده از یک ویژگی MAPI توسعه یافته (رابط برنامه‌نویسی پیام‌رسانی Microsoft Outlook) دریافت می‌کند که حاوی مسیر اشتراک‌گذاری بلاک پیام سرور است که توسط مهاجم کنترل می‌شود.

وقتی Outlook این ایمیل را دریافت می‌کند، سعی می‌کند با استفاده از هش NTLM خود را به اشتراک SMB احراز هویت کند. سپس هکری که سهم SMB را کنترل می کند می تواند به هش دسترسی پیدا کند.

چرا آسیب‌پذیری Outlook بسیار مؤثر است؟

CVE-2023-23397 یک آسیب پذیری موثر به دلایل مختلفی است:

  • Outlook توسط طیف گسترده ای از مشاغل استفاده می شود. این باعث جذابیت آن برای هکرها می شود.
  • استفاده از آسیب‌پذیری CVE-2023-23397 آسان است و برای پیاده‌سازی به دانش فنی زیادی نیاز ندارد.
  • دفاع از آسیب پذیری CVE-2023-23397 دشوار است. اکثر حملات مبتنی بر ایمیل نیاز به تعامل گیرنده با ایمیل دارند. این آسیب پذیری بدون هیچ گونه تعاملی موثر است. به همین دلیل، آموزش کارمندان در مورد ایمیل های فیشینگ یا گفتن به آنها برای دانلود پیوست های ایمیل (یعنی روش های سنتی برای جلوگیری از ایمیل های مخرب) هیچ تاثیری ندارد.
  • این حمله از هیچ نوع بدافزاری استفاده نمی کند. به همین دلیل، توسط نرم افزار امنیتی دریافت نمی شود.
مطلب مرتبط:   برنامه پیش‌فرض ایمیل ویندوز در حال تغییر است: اکنون چه کاری باید انجام دهید

چه اتفاقی برای قربانیان این آسیب پذیری می افتد؟

لپ تاپ قفل شده و پرچم جمجمه

آسیب پذیری CVE-2023-23397 به مهاجم اجازه می دهد تا به حساب قربانی دسترسی پیدا کند. بنابراین نتیجه به آنچه قربانی دسترسی دارد بستگی دارد. مهاجم ممکن است داده ها را بدزدد یا حمله باج افزاری را انجام دهد.

اگر قربانی به داده های خصوصی دسترسی داشته باشد، مهاجم می تواند آن را بدزدد. در مورد اطلاعات مشتری، می توان آن را در وب تاریک فروخت. این نه تنها برای مشتریان بلکه برای شهرت کسب و کار نیز مشکل ساز است.

همچنین ممکن است مهاجم بتواند اطلاعات خصوصی یا مهم را با استفاده از باج افزار رمزگذاری کند. پس از یک حمله موفق باج‌افزار، همه داده‌ها غیرقابل دسترسی هستند، مگر اینکه کسب‌وکار به مهاجم باج پرداخت کند (و حتی در آن زمان، مجرمان سایبری ممکن است تصمیم بگیرند که داده‌ها را رمزگشایی نکنند).

چگونه بررسی کنیم که آیا تحت تأثیر آسیب پذیری CVE-2023-23397 هستید یا خیر

اگر فکر می کنید که ممکن است کسب و کار شما قبلاً تحت تأثیر این آسیب پذیری قرار گرفته باشد، می توانید سیستم خود را به طور خودکار با استفاده از یک اسکریپت PowerShell از مایکروسافت بررسی کنید. این اسکریپت فایل های شما را جستجو می کند و به دنبال پارامترهایی می گردد که در این حمله استفاده می شوند. پس از یافتن آنها، می توانید آنها را از سیستم خود حذف کنید. اسکریپت از طریق مایکروسافت قابل دسترسی است.

چگونه در برابر این آسیب پذیری محافظت کنیم

راه بهینه برای محافظت در برابر این آسیب پذیری، به روز رسانی تمام نرم افزارهای Outlook است. مایکروسافت یک پچ را در 14 مارس 2023 منتشر کرد و پس از نصب، هرگونه تلاش برای این حمله بی‌اثر خواهد بود.

در حالی که وصله نرم افزار باید برای همه مشاغل در اولویت باشد، اگر به دلایلی نمی توان به این امر دست یافت، راه های دیگری نیز برای جلوگیری از موفقیت آمیز بودن این حمله وجود دارد. آنها عبارتند از:

  • خروجی TCP 445 را مسدود کنید. این حمله از پورت 445 استفاده می کند و در صورت عدم امکان ارتباط از طریق آن پورت، حمله ناموفق خواهد بود. اگر به پورت 445 برای مقاصد دیگر نیاز دارید، باید تمام ترافیک آن پورت را کنترل کنید و هر چیزی را که به یک آدرس IP خارجی می رود مسدود کنید.
  • همه کاربران را به گروه امنیت کاربران محافظت شده اضافه کنید. هر کاربر در این گروه نمی تواند از NTLM به عنوان یک روش احراز هویت استفاده کند. مهم است که توجه داشته باشید که این ممکن است با هر برنامه‌ای که به NTLM متکی هستند نیز تداخل داشته باشد.
  • از همه کاربران بخواهید که تنظیمات Show Reminders را در Outlook غیرفعال کنند. این ممکن است مانع از دسترسی مهاجم به اعتبارنامه های NTLM شود.
  • از همه کاربران بخواهید که سرویس WebClient را غیرفعال کنند. توجه به این نکته مهم است که این امر از تمام اتصالات WebDev از جمله از طریق اینترانت جلوگیری می کند و بنابراین لزوماً گزینه مناسبی نیست.
مطلب مرتبط:   نحوه رفع خطای مایکروسافت اوت لوک "چیزی اشتباه شد" در ویندوز

شما باید در برابر آسیب پذیری CVE-2023-23397 وصله کنید

آسیب پذیری CVE-2023-23397 به دلیل محبوبیت Outlook و میزان دسترسی که برای مهاجم فراهم می کند قابل توجه است. یک حمله موفقیت آمیز به مهاجم سایبری اجازه می دهد تا به حساب قربانی دسترسی پیدا کند که می تواند برای سرقت یا رمزگذاری داده ها استفاده شود.

تنها راه محافظت مناسب در برابر این حمله، به روز رسانی نرم افزار Outlook با وصله لازم که مایکروسافت در دسترس قرار داده است است. هر کسب و کاری که موفق به انجام این کار نشود، یک هدف جذاب برای هکرها است.

Tags: