Пользователи BI.ZONE CESP в безопасности: отражена новая атака по email

Злоумышленники начали красть данные учетных записей с помощью уязвимости в Microsoft Outlook. Сервис BI.ZONE CESP одним из первых смог обеспечить защиту пользователей, которым недоступно обновление этого почтового клиента

6 апреля 2023 г.

В марте 2023 года в Microsoft Outlook обнаружили уязвимость, с помощью которой киберпреступники могут скомпрометировать учетную запись жертвы. Уязвимости присвоили имя CVE-2023-23397 и оценили на 9,8 из 10 — это критический уровень опасности по шкале CVSS.

Атака приводит к несанкционированной аутентификации.

Пользователь получает электронное письмо с событием календаря или задачей, которая ссылается на UNC‑путь, контролируемый злоумышленником. Это значение указывается в параметре PidLidReminderFileParameter — он отвечает за расположение файла и должен воспроизводиться клиентским приложением Microsoft Outlook, когда срабатывает напоминание о событии или задаче в календаре.
Даже если пользователь не подтверждает участие в событии или не принимает задачу, Microsoft Outlook жертвы обращается к нелегитимному серверу.
Нелегитимный сервер требует аутентификации по NTLM.
Microsoft Outlook посылает первый NTLM‑пакет с именем жертвы и общей информацией (все в Base64).
Мошенники получают учетные данные для аутентификации.

Другими словами, при этой атаке злоумышленники генерируют нелегитимный файл с расширением .msg, где указывают следующие параметры и их значения:

PidLidReminderOverride = true; — возможность выставить предпочтения пользовательскому звуковому файлу.
PidLidReminderFileParameter = ""; — значение, указывающее путь на удаленный сервер мошенников.

Таким образом они организовывают атаку типа NTLM relay с последующим получением NTLM‑хеша и компрометируют учетные данные.

Microsoft уже выпустила специальное обновление, которое обеспечивает защиту от описанной атаки. Но не все пользователи могут им воспользоваться — обновления Microsoft Outlook недоступны в России.

Команда BI.ZONE CESP оперативно разработала дополнение для защиты от новой уязвимости. Оно проверяет письма и вложения в них на предмет использования CVE-2023-23397 еще до того, как они попадут в почтовый ящик пользователя. Дополнение уже автоматически установлено у всех клиентов сервиса, так что их электронную почту злоумышленники скомпрометировать не смогут.

Когда мы только узнали про уязвимость в почтовом клиенте Microsoft, мы сразу оценили, насколько большой ущерб она может принести. MS Outlook официально не обновляется в нашей стране, а значит, такая ошибка в софте несет угрозу именно российским пользователям. Поэтому команда BI.ZONE CESP в сжатые сроки создала правила фильтрации, которые защищают наших клиентов от этой уязвимости.

Муслим Меджлумов

Директор по продуктам и технологиям BI.ZONE

@media only screen and (min-width: 320px) and (max-width: 370px) { .articleDetail .quote__authorName, .articleDetail .quote__text, .eventProgramm__date, .eventProgramm__title, .fs-h5, .h5, .headBlock__text, .headSection--news .headSection__text, .headSection__text, .newsDetail .quote__authorName, .newsDetail .quote__text, .participants__title, .popup__title, .sectionFullImage__text, .stepList .button, .stepList .button span, .stepList__title, .toggleBox .iconLine__title, .toggleBox__title, div.card__title, div.cFiltered__length, div.productDetail__subtitle, div.review__authorName, div.timer__title, div.toggleBox .iconLine__title, div.toggleBox__title, div.toggleEvent__bannerTitle, div.v-banner__title, h5 { font-size: 20px; line-height: 22px; } }