Российский сервис от BI.ZONE проработал защиту от новой уязвимости Microsoft Outlook

f3b02d548b719d1d60e866955882ee74

В марте 2023 года стало известно о программной ошибке в MS Outlook — критической уязвимости, получившей обозначение CVE-2023–23397. Эксперты оценили её на 9,8 из 10 по шкале CVSS. В пресс-службе облачного сервиса по защите электронной почты BI.ZONE CESP Хабру сообщили о разработке дополнения, позволяющего справиться с этой проблемой, и описали этапы атаки с использованием уязвимости.

Злоумышленник отправляет электронное письмо, содержащее специально созданное событие календаря или задачу. Пользователю не нужно открывать сообщение, достаточно того, что на компьютере запущен Microsoft Outlook. Как описала команда BI.ZONE, атака проводится следующим образом.

  • Пользователь получает электронное письмо с событием календаря или задачей, которая ссылается на UNC‑путь, контролируемый злоумышленником. Значение указывается в параметре PidLidReminderFileParameter — он отвечает за расположение файла и должен воспроизводиться клиентским приложением Microsoft Outlook, когда срабатывает напоминание о событии или задаче в календаре.

  • Даже если пользователь не подтверждает участие в событии или не принимает задачу, Microsoft Outlook жертвы обращается к нелегитимному серверу.

  • Нелегитимный сервер требует аутентификации по NTLM.

  • Microsoft Outlook посылает первый NTLM‑пакет с именем жертвы и общей информацией (все в Base64).

  • Мошенники получают учётные данные для аутентификации.

То есть атакующие генерируют нелегитимный файл с расширением .msg, где указывают следующие параметры и их значения:

  • PidLidReminderOverride = true; — возможность выставить предпочтения пользовательскому звуковому файлу.

  • PidLidReminderFileParameter = ""; — значение, указывающее путь на удалённый сервер мошенников.

Команда BI.ZONE CESP разработала дополнение, проверяющее письма и вложения в них ещё до того, как они попадут к пользователю. Обновление уже автоматически установлено у всех клиентов сервиса, поэтому их электронную почту злоумышленники скомпрометировать не смогут. 

«Когда мы только узнали про уязвимость в почтовом клиенте Microsoft, мы сразу оценили, насколько большой ущерб она может принести. MS Outlook официально не обновляется в нашей стране, а значит, такая ошибка в софте несёт угрозу именно российским пользователям. Команда BI.ZONE CESP в сжатые сроки создала правила фильтрации, которые защищают наших клиентов от этой уязвимости», — указал Муслим Меджлумов, директор по продуктам и технологиям BI.ZONE.

Microsoft также выпустила специальное обновление, обеспечивающее защиту от этой атаки. Но не все пользователи могут им воспользоваться, поскольку официально обновления Microsoft Outlook недоступны в России.

© Habrahabr.ru