Peretasan Kata Sandi Ini Berarti Majikan Anda Perlu Menambal Microsoft Outlook Hari Ini

Peretas terus mencari cara baru untuk menyusup ke jaringan aman. Ini adalah tantangan yang sulit karena semua bisnis yang bertanggung jawab berinvestasi dalam keamanan. Namun, salah satu metode yang akan selalu efektif adalah penggunaan kerentanan baru dalam produk perangkat lunak populer.

Kerentanan baru-baru ini ditemukan di Outlook yang memungkinkan peretas mencuri kata sandi hanya dengan mengirim email ke pemegang akun. Tambalan telah dirilis, tetapi banyak bisnis belum memperbarui versi Outlook mereka.

Jadi apa kerentanan ini, dan bagaimana bisnis mempertahankannya?

Apa itu Kerentanan CVE-2023-23397?

Kerentanan CVE-2023-23397 adalah kerentanan eskalasi hak istimewa yang memengaruhi Microsoft Outlook yang berjalan di Windows.

Kerentanan ini diyakini telah digunakan dari April hingga Desember 2022 oleh aktor negara bangsa terhadap berbagai macam industri. Sebuah tambalan dirilis pada Maret 2023.

Sementara rilis tambalan berarti bahwa organisasi dapat dengan mudah bertahan melawannya, fakta bahwa sekarang banyak dipublikasikan berarti bahwa risiko bisnis yang tidak menambal telah meningkat.

Tidak jarang kerentanan yang digunakan oleh negara-negara pada awalnya digunakan secara luas oleh peretas individu dan kelompok peretas setelah ketersediaannya diketahui.

Siapa Sasaran Kerentanan Microsoft Outlook?

Kerentanan CVE-2023-23397 hanya efektif terhadap Outlook yang berjalan di Windows. Pengguna Android, Apple, dan web, tidak terpengaruh dan tidak perlu memperbarui perangkat lunak mereka.

Individu pribadi tidak mungkin menjadi sasaran karena melakukan hal itu tidak menguntungkan seperti menargetkan bisnis. Namun, jika individu pribadi menggunakan Outlook untuk Windows, mereka tetap harus memperbarui perangkat lunaknya.

Bisnis cenderung menjadi target utama karena banyak yang menggunakan Outlook untuk Windows untuk melindungi data penting mereka. Kemudahan serangan dapat dilakukan, dan jumlah bisnis yang menggunakan perangkat lunak, berarti bahwa kerentanan cenderung terbukti populer di kalangan peretas.

Bagaimana Cara Kerja Kerentanan?

Serangan ini menggunakan email dengan properti khusus yang menyebabkan Microsoft Outlook mengungkapkan hash NTLM korban. NTLM adalah singkatan dari New Technology LAN Master dan hash ini dapat digunakan untuk autentikasi ke akun korban.

Email memperoleh hash dengan menggunakan MAPI yang diperluas (Pemrograman Aplikasi Pesan Microsoft Outlook Antarmuka) yang berisi jalur berbagi Blok Pesan Server yang dikendalikan oleh penyerang.

Saat Outlook menerima email ini, ia mencoba mengautentikasi dirinya sendiri ke share SMB menggunakan hash NTLM-nya. Peretas yang mengendalikan bagian SMB kemudian dapat mengakses hash.

Mengapa Kerentanan Outlook Begitu Efektif?

CVE-2023-23397 adalah kerentanan yang efektif karena sejumlah alasan:

• Outlook digunakan oleh berbagai macam bisnis. Ini membuatnya menarik bagi peretas.
• Kerentanan CVE-2023-23397 mudah digunakan dan tidak memerlukan banyak pengetahuan teknis untuk diterapkan.
• Kerentanan CVE-2023-23397 sulit dipertahankan. Sebagian besar serangan berbasis email mengharuskan penerima untuk berinteraksi dengan email tersebut. Kerentanan ini efektif tanpa interaksi apa pun. Karena itu, mendidik karyawan tentang email phishing atau memberi tahu mereka untuk tidak mengunduh lampiran email (yaitu metode tradisional untuk menghindari email jahat) tidak berpengaruh.
• Serangan ini tidak menggunakan jenis malware apa pun. Karena itu, itu tidak akan diambil oleh perangkat lunak keamanan.

Apa yang Terjadi pada Korban Kerentanan Ini?

Kerentanan CVE-2023-23397 memungkinkan penyerang mendapatkan akses ke akun korban. Oleh karena itu hasilnya tergantung pada apa yang dapat diakses oleh korban. Penyerang dapat mencuri data atau meluncurkan serangan ransomware.

Jika korban memiliki akses ke data pribadi, penyerang dapat mencurinya. Dalam hal informasi pelanggan, itu bisa dijual di web gelap. Ini tidak hanya bermasalah bagi pelanggan tetapi juga untuk reputasi bisnis.

Penyerang juga dapat mengenkripsi informasi pribadi atau penting menggunakan ransomware. Setelah serangan ransomware berhasil, semua data tidak dapat diakses kecuali bisnis membayar uang tebusan kepada penyerang (dan bahkan kemudian, penjahat dunia maya dapat memutuskan untuk tidak mendekripsi data).

Cara Memeriksa Apakah Anda Terkena Kerentanan CVE-2023-23397

Jika menurut Anda bisnis Anda mungkin telah terpengaruh oleh kerentanan ini, Anda dapat memeriksa sistem Anda secara otomatis menggunakan skrip PowerShell dari Microsoft. Skrip ini mencari file Anda dan mencari parameter yang digunakan dalam serangan ini. Setelah menemukannya, Anda dapat menghapusnya dari sistem Anda. Skrip dapat diakses melalui Microsoft.

Bagaimana Melindungi Terhadap Kerentanan Ini

Cara optimal untuk melindungi dari kerentanan ini adalah dengan memperbarui semua perangkat lunak Outlook. Microsoft merilis tambalan pada 14 Maret 2023, dan setelah dipasang, setiap upaya serangan ini tidak akan efektif.

Meskipun menambal perangkat lunak harus menjadi prioritas untuk semua bisnis, jika karena alasan tertentu hal ini tidak dapat dicapai, ada cara lain untuk mencegah serangan ini berhasil. Mereka termasuk:

• Blokir keluar TCP 445. Serangan ini menggunakan port 445 dan jika tidak ada komunikasi melalui port tersebut, serangan tersebut tidak akan berhasil. Jika Anda memerlukan port 445 untuk tujuan lain, Anda harus memantau semua lalu lintas melalui port tersebut dan memblokir semua yang masuk ke alamat IP eksternal.
• Tambahkan semua pengguna ke Grup Keamanan Pengguna Terlindungi. Setiap pengguna dalam grup ini tidak dapat menggunakan NTLM sebagai metode autentikasi. Penting untuk dicatat bahwa ini juga dapat mengganggu aplikasi apa pun yang mengandalkan NTLM.
• Minta agar semua pengguna menonaktifkan pengaturan Tampilkan Pengingat di Outlook. Ini dapat mencegah kredensial NTLM diakses oleh penyerang.
• Minta agar semua pengguna menonaktifkan layanan WebClient. Penting untuk dicatat bahwa ini akan mencegah semua koneksi WebDev termasuk melalui intranet dan oleh karena itu belum tentu merupakan opsi yang sesuai.

Anda Perlu Menambal Kerentanan CVE-2023-23397

Kerentanan CVE-2023-23397 signifikan karena popularitas Outlook dan jumlah akses yang diberikan penyerang. Serangan yang berhasil memungkinkan penyerang dunia maya mendapatkan akses ke akun korban yang dapat digunakan untuk mencuri atau mengenkripsi data.

Satu-satunya cara untuk melindungi dengan benar dari serangan ini adalah memperbarui perangkat lunak Outlook dengan tambalan yang diperlukan yang telah disediakan oleh Microsoft. Bisnis apa pun yang gagal melakukannya adalah target yang menarik bagi peretas.