facebook com

Một số mẹo hay giúp phát hiện các lỗi bảo mật của Outlook từ Microsoft

Microsoft phát hiện lỗ hổng zero-day trong Outlook email, cho phép kẻ tấn công đánh cắp NTLM hash và truy cập dữ liệu nhạy cảm.

Lỗ hổng zero-day trong Outlook cho phép tấn công NTLM-relay zero-click

Microsoft đã phát hành một hướng dẫn mới giúp người dùng xác định liệu có kẻ tấn công lấy cắp dữ liệu nhạy cảm bằng cách khai thác một lỗ hổng zero-day đã được vá gần đây. Lỗ hổng zereo-day được tìm thấy trong phần mềm email Outlook của Microsoft.

lỗ hổng zero-day đã được Microsoft phát hiện gần đây trên Outlook

Microsoft đã phát hiện lỗ hổng zero-day trong Outlook

Lỗ hổng này có mã CVE-2023-23397, và được mô tả là một lỗ hổng bảo mật tăng quyền trên Windows, cho phép kẻ tấn công đánh cắp các NTLM hash mà không cần nạn nhân tương tác với phía đối tác của họ. Cuộc tấn công này được gọi là cuộc tấn công zero-click NTLM-relay.

Tarlogic mô tả các NTLM hash như là "định dạng mật mã" mà Windows lưu trữ mật khẩu người dùng. Các hash này được lưu trữ trong tệp SAM (Quản lý Tài khoản Bảo mật) hoặc tệp NTDS của một điều khiển miền. "Chúng là một phần cơ bản của cơ chế được sử dụng để xác thực một người dùng thông qua các giao thức truyền thông khác nhau," Tarlogic nói.

Xuất hiện nhiều tín hiệu báo động cho thấy nguy cơ bị tấn công

Để khai thác lỗ hổng và đánh cắp những chuỗi NTLM, kẻ tấn công có thể gửi một tin nhắn được tạo ra đặc biệt, chứa các thuộc tính MAPI mở rộng. Điều này sẽ chứa các đường dẫn UNC (đường dẫn định danh chung, được sử dụng để truy cập tài nguyên mạng) đến các SMB share được điều khiển bởi kẻ tấn công.

Hiện Microsoft cho biết đã phát hiện nhiều tín hiệu báo động cho thấy có thể đã xảy ra tấn công, các đội IT có thể phân tích dữ liệu telemetries từ các tường lửa, proxy, công cụ VPN, nhật ký cổng RDP Gateway, nhật ký đăng nhập Azure Active Directory cho người dùng Exchange Online hoặc nhật ký IIS cho Exchange Server. Họ cũng có thể tìm kiếm dữ liệu như nhật ký sự kiện Windows hoặc dữ liệu telemetries từ các giải pháp phát hiện và phản ứng điểm cuối.

lỗi bảo mật của Outlook có thể gây ra thiệt hại cho người dùng

Microsoft đã phát tín hiệu cho người dùng về việc tấn công

Thường thì kẻ tấn công sẽ nhắm vào người dùng Exchange EWS/OWA và tìm cách thay đổi quyền truy cập thư mục hộp thư để truy cập lâu dài. Những đội IT cũng có thể tìm kiếm những dấu hiệu này.

"Để khắc phục lỗ hổng này, bạn phải cài đặt bản cập nhật bảo mật Outlook, bất kể thư của bạn được lưu trữ ở đâu (ví dụ: Exchange Online, Exchange Server, hoặc nền tảng khác) hoặc hỗ trợ xác thực NTLM của tổ chức của bạn," đội phản ứng sự cố của Microsoft cho biết.

Cuối cùng, công ty cũng phát hành một tập lệnh giúp các quản trị viên tự động hóa quá trình và xác định xem liệu có bất kỳ người dùng Exchange nào bị tấn công.

Thích và chia sẻ bài viết trên Facebook để ủng hộ đội ngũ viết bài của Mắt Bão nhé!
Bài viết liên quan
Đừng bỏ lỡ tin tức mới sẽ giúp ích cho việc kinh doanh của bạn Đăng ký nhận tin, nhận ngay bài haynhững ưu đãi bất ngờ từ Mắt Bão.
Dịch vụ bạn muốn nhận tin
Đọc nhiều nhất