О программной ошибке в MS Outlook стало известно в марте 2023 года. Критическую уязвимость под названием CVE-2023-23397 эксперты оценили на 9,8 из 10 по шкале CVSS.
Злоумышленник отправляет электронное письмо, которое содержит специально созданное событие календаря или задачу. Пользователю не нужно даже открывать сообщение, достаточно того, что на компьютере запущен Microsoft Outlook.Сразу после этого злоумышленник использует уязвимость и проводит атаку. Он получает учетные данные жертвы и может использовать их.
Атака приводит к несанкционированной аутентификации.
- Пользователь получает электронное письмо с событием календаря или задачей, которая ссылается на UNC‑путь, контролируемый злоумышленником. Это значение указывается в параметре
PidLidReminderFileParameter— он отвечает за расположение файла и должен воспроизводиться клиентским приложением Microsoft Outlook, когда срабатывает напоминание о событии или задаче в календаре. - Даже если пользователь не подтверждает участие в событии или не принимает задачу, Microsoft Outlook жертвы обращается к нелегитимному серверу.
- Нелегитимный сервер требует аутентификации по NTLM.
- Microsoft Outlook посылает первый NTLM‑пакет с именем жертвы и общей информацией (все в Base64).
- Мошенники получают учетные данные для аутентификации.
Другими словами, при этой атаке злоумышленники генерируют нелегитимный файл с расширением .msg, где указывают следующие параметры и их значения:
PidLidReminderOverride = true;— возможность выставить предпочтения пользовательскому звуковому файлу.PidLidReminderFileParameter = "";— значение, указывающее путь на удаленный сервер мошенников.
Таким образом они организовывают атаку типа NTLM relay с последующим получением NTLM‑хеша и компрометируют учетные данные.
Команда облачного сервиса по защите электронной почты BI.ZONE CESP оперативно разработала дополнение, которое проверяет письма и вложения в них еще до того, как они попадут к пользователю. Обновление уже автоматически установлено у всех клиентов сервиса, так что их электронную почту злоумышленники скомпрометировать не смогут.
Microsoft уже выпустила специальное обновление, которое обеспечивает защиту от описанной атаки. Но не все пользователи могут им воспользоваться — обновления Microsoft Outlook недоступны в России.
«Когда мы только узнали про уязвимость в почтовом клиенте Microsoft, мы сразу оценили, насколько большой ущерб она может принести. MS Outlook официально не обновляется в нашей стране, а значит, такая ошибка в софте несет угрозу именно российским пользователям. Команда BI.ZONE CESP в сжатые сроки создала правила фильтрации, которые защищают наших клиентов от этой уязвимости».
Муслим Меджлумов, директор по продуктам и технологиям BI.ZONE