حتى أمان البريد الإلكتروني المعتاد لن يحميك من هذه الثغرة الأمنية الذكية في Outlook. لحسن الحظ ، أنت لست عاجزًا.

يبحث المتسللون باستمرار عن طرق جديدة لاختراق الشبكات الآمنة. هذا تحد صعب لأن جميع الشركات المسؤولة تستثمر في الأمن. ومع ذلك ، فإن إحدى الطرق التي ستكون فعالة دائمًا هي استخدام ثغرات أمنية جديدة في منتجات البرامج الشائعة.

تم اكتشاف ثغرة أمنية مؤخرًا في Outlook تتيح للمتسللين سرقة كلمات المرور بمجرد إرسال بريد إلكتروني إلى صاحب الحساب. تم إصدار تصحيح ، لكن العديد من الشركات لم تقم بعد بتحديث إصدار Outlook الخاص بها.

إذن ما هي هذه الثغرة ، وكيف يمكن للشركات أن تدافع عنها؟

ما هي ثغرة CVE-2023-23397؟

الثغرة الأمنية CVE-2023-23397 هي ثغرة أمنية تصعيد الامتيازات تؤثر على Microsoft Outlook الذي يعمل على Windows.

يُعتقد أن هذه الثغرة الأمنية قد تم استخدامها من أبريل إلى ديسمبر 2022 من قبل الجهات الحكومية الوطنية ضد مجموعة واسعة من الصناعات. تم إصدار تصحيح في مارس 2023.

في حين أن إصدار التصحيح يعني أنه يمكن للمؤسسات الدفاع ضده بسهولة ، فإن حقيقة أنه يتم نشره الآن بشكل كبير يعني أن المخاطر على الأعمال التي لا يتم تصحيحها قد ازدادت.

instagram viewer

ليس من غير المألوف استخدام نقاط الضعف التي تستخدمها الدول في البداية على نطاق واسع من قبل المتسللين الأفراد ومجموعات القرصنة بمجرد معرفة مدى توفرها.

من المستهدف من قبل ثغرة أمنية في Microsoft Outlook؟

تعتبر الثغرة الأمنية CVE-2023-23397 فعالة فقط ضد Outlook الذي يعمل على Windows. لا يتأثر مستخدمو Android و Apple والويب ولا يحتاجون إلى تحديث برامجهم.

من غير المحتمل أن يتم استهداف الأفراد العاديين لأن القيام بذلك ليس مربحًا مثل استهداف شركة. ومع ذلك ، إذا كان أحد الأفراد يستخدم Outlook لنظام التشغيل Windows ، فلا يزال يتعين عليهم تحديث برامجهم.

من المحتمل أن تكون الشركات هي الهدف الأساسي لأن العديد منهم يستخدمون Outlook لنظام التشغيل Windows لحماية بياناتهم المهمة. تعني السهولة التي يمكن من خلالها تنفيذ الهجوم ، وكمية الشركات التي تستخدم البرنامج ، أن الثغرة الأمنية من المرجح أن تثبت شعبيتها بين المتسللين.

كيف يعمل الضعف؟

يستخدم هذا الهجوم بريدًا إلكترونيًا بخصائص معينة تجعل Microsoft Outlook يكشف عن تجزئة NTLM للضحية. يرمز NTLM إلى New Technology LAN Master ويمكن استخدام هذا التجزئة للمصادقة على حساب الضحية.

يكتسب البريد الإلكتروني التجزئة باستخدام MAPI الممتد (Microsoft Outlook Messaging Application Programming Interface) التي تحتوي على مسار مشاركة Server Message Block التي يتحكم فيها مهاجم.

عندما يتلقى Outlook هذا البريد الإلكتروني ، فإنه يحاول المصادقة على مشاركة SMB باستخدام تجزئة NTLM. عندئذٍ يكون المخترق الذي يتحكم في مشاركة SMB قادرًا على الوصول إلى التجزئة.

لماذا تعتبر ثغرة Outlook فعالة للغاية؟

تعد CVE-2023-23397 ثغرة أمنية فعالة لعدد من الأسباب:

  • يتم استخدام Outlook من قبل مجموعة متنوعة من الشركات. هذا يجعلها جذابة للقراصنة.
  • الثغرة الأمنية CVE-2023-23397 سهلة الاستخدام ولا تتطلب الكثير من المعرفة التقنية لتنفيذها.
  • من الصعب الدفاع عن الثغرة الأمنية CVE-2023-23397. تتطلب معظم الهجمات المستندة إلى البريد الإلكتروني من المستلم التفاعل مع البريد الإلكتروني. هذه الثغرة الأمنية فعالة دون أي تفاعل. وبسبب هذا ، تثقيف الموظفين حول رسائل البريد الإلكتروني المخادعة أو إخبارهم بعدم تنزيل مرفقات البريد الإلكتروني (أي الطرق التقليدية لتجنب رسائل البريد الإلكتروني الضارة) ليس له أي تأثير.
  • لا يستخدم هذا الهجوم أي نوع من البرامج الضارة. وبسبب هذا ، لن يتم التقاطه بواسطة برامج الأمان.

ماذا يحدث لضحايا هذا الضعف؟

تسمح الثغرة الأمنية CVE-2023-23397 للمهاجم بالوصول إلى حساب الضحية. وبالتالي فإن النتيجة تعتمد على ما يمكن للضحية الوصول إليه. المهاجم قد يسرق البيانات أو شن هجوم برامج الفدية.

إذا كان للضحية حق الوصول إلى البيانات الخاصة ، فيمكن للمهاجم سرقتها. في حالة معلومات العميل ، يمكن بيعه على الويب المظلم. هذا ليس فقط مشكلة للعملاء ولكن أيضا لسمعة الشركة.

قد يتمكن المهاجم أيضًا من تشفير المعلومات الخاصة أو المهمة باستخدام برامج الفدية الضارة. بعد هجوم ناجح من برامج الفدية ، يتعذر الوصول إلى جميع البيانات ما لم تدفع الشركة للمهاجم فدية (وحتى في هذه الحالة ، قد يقرر مجرمو الإنترنت عدم فك تشفير البيانات).

كيفية التحقق مما إذا كنت متأثرًا بثغرة CVE-2023-23397

إذا كنت تعتقد أن عملك قد يكون قد تأثر بالفعل بهذه الثغرة الأمنية ، فيمكنك التحقق من نظامك تلقائيًا باستخدام برنامج نصي PowerShell من Microsoft. يبحث هذا البرنامج النصي في ملفاتك ويبحث عن المعلمات المستخدمة في هذا الهجوم. بعد العثور عليها ، يمكنك حذفها من نظامك. يمكن الوصول إلى البرنامج النصي عبر Microsoft.

كيفية الحماية من هذا الضعف

تتمثل الطريقة المثلى للحماية من هذه الثغرة الأمنية في تحديث كافة برامج Outlook. أصدرت Microsoft تصحيحًا في 14 مارس 2023 ، وبمجرد تثبيته ، ستكون أي محاولات لهذا الهجوم غير فعالة.

بينما يجب أن تكون برامج التصحيح أولوية لجميع الشركات ، إذا تعذر تحقيق ذلك لسبب ما ، فهناك طرق أخرى لمنع هذا الهجوم من النجاح. يشملوا:

  • منع TCP 445 للخارج. يستخدم هذا الهجوم المنفذ 445 وإذا لم يكن هناك اتصال ممكن عبر هذا المنفذ ، فلن ينجح الهجوم. إذا كنت تحتاج إلى المنفذ 445 لأغراض أخرى ، فيجب عليك مراقبة كل حركة المرور عبر هذا المنفذ وحظر أي شيء ينتقل إلى عنوان IP خارجي.
  • أضف جميع المستخدمين إلى مجموعة أمان المستخدم المحمي. لا يمكن لأي مستخدم في هذه المجموعة استخدام NTLM كطريقة مصادقة. من المهم ملاحظة أن هذا قد يتداخل أيضًا مع أي تطبيقات تعتمد على NTLM.
  • اطلب من جميع المستخدمين تعطيل إعداد إظهار التذكيرات في Outlook. قد يمنع هذا المهاجم من الوصول إلى بيانات اعتماد NTLM.
  • اطلب من جميع المستخدمين تعطيل خدمة WebClient. من المهم ملاحظة أن هذا سيمنع جميع اتصالات WebDev بما في ذلك عبر الإنترانت وبالتالي ليس بالضرورة خيارًا مناسبًا.

تحتاج إلى التصحيح ضد ثغرة CVE-2023-23397

تعتبر الثغرة الأمنية CVE-2023-23397 مهمة نظرًا لشعبية Outlook ومقدار الوصول الذي يوفره للمهاجم. يسمح الهجوم الناجح للمهاجم الإلكتروني بالوصول إلى حساب الضحية الذي يمكن استخدامه لسرقة البيانات أو تشفيرها.

الطريقة الوحيدة للحماية بشكل صحيح من هذا الهجوم هي تحديث برنامج Outlook بالتصحيح الضروري الذي أتاحته Microsoft. أي عمل تجاري يفشل في القيام بذلك يعد هدفًا جذابًا للمتسللين.