image

Zerodaylek in Microsoft Outlook zeker één jaar lang bij aanvallen misbruikt

woensdag 19 juli 2023, 15:04 door Redactie, 5 reacties

Een zerodaylek in Microsoft Outlook waarmee het mogelijk is om wachtwoordhashes van gebruikers te stelen is zeker één jaar lang bij aanvallen misbruikt, zo stelt antivirusbedrijf Kaspersky. Microsoft kwam op 14 maart met beveiligingsupdates, maar de eerste publieke aanwijzingen voor misbruik dateren van 18 maart 2022, een jaar eerder.

De kwetsbaarheid, aangeduid als CVE-2023-23397, is aanwezig in alle ondersteunde versies van Microsoft Outlook voor Windows. Andere versies zijn niet kwetsbaar. Door het versturen van een speciaal geprepareerde e-mail kan de aanvaller het slachtoffer op zijn server laten inloggen, waarbij de hash wordt verstuurd. De verstuurde hash is vervolgens te onderscheppen en te kraken. Er is geen enkele interactie van het slachtoffer vereist, de aanvaller hoeft alleen het e-mailadres te kennen en hier een e-mail naar toe te sturen.

Kaspersky deed onderzoek naar exemplaren van de exploit die naar VirusTotal waren geüpload, Googles online virusscandienst. Dan blijkt dat de kwetsbaarheid al sinds 18 maart 2022 bij aanvallen is ingezet, aldus de virusbestrijder. Die heeft een lijst met ip-adressen beschikbaar gesteld waarmee organisaties kunnen kijken of zij mogelijk ook doelwit zijn geweest.

Reacties (5)
19-07-2023, 21:11 door Anoniem
Op de meeste bedrijfsnetwerken werkt deze aanval niet omdat het SMB verkeer richting internet geblokkeerd wordt. Dat is namelijk al een jaar of 10 een van de beveiligingsadviezen van Microsoft. Het is daarom erg opvallend dat dit trucje zo lang gebruikt is.
19-07-2023, 22:39 door Anoniem
Door Anoniem: Op de meeste bedrijfsnetwerken werkt deze aanval niet omdat het SMB verkeer richting internet geblokkeerd wordt. Dat is namelijk al een jaar of 10 een van de beveiligingsadviezen van Microsoft. Het is daarom erg opvallend dat dit trucje zo lang gebruikt is.
Niet waar, want dan werkt MS sharepoint ook niet meer.
20-07-2023, 09:03 door Anoniem
Geeft mij toch nog weer even de gelegenheid om te zeiken over de outlook desktop versie.
Wat is het toch een ontzettende draak van een programma, begrijp werkelijk niet waarom iemand het nog vrijwillig gebruikt.
Toch heb ik in het verleden gebruikers gehad die zo ongeveer boos werden dat ze geen outlook meer hadden, stevig gevalletje Stockholm syndroom.
20-07-2023, 10:31 door Anoniem
Door Anoniem:
Door Anoniem: Op de meeste bedrijfsnetwerken werkt deze aanval niet omdat het SMB verkeer richting internet geblokkeerd wordt. Dat is namelijk al een jaar of 10 een van de beveiligingsadviezen van Microsoft. Het is daarom erg opvallend dat dit trucje zo lang gebruikt is.
Niet waar, want dan werkt MS sharepoint ook niet meer.
Waarom?
Sharepoint heeft helemaal geen afhankelijkheid van SMB.

Het advies is juist een hele goede, blockeer TCP445 richting het Internet. Nadeel is dat dit bij veel consumenten firewalls/NAT oplossingen niet werkt. Gelukkig blockeren dan sommige ISP's dit wel weer automatisch.
21-07-2023, 10:51 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Op de meeste bedrijfsnetwerken werkt deze aanval niet omdat het SMB verkeer richting internet geblokkeerd wordt. Dat is namelijk al een jaar of 10 een van de beveiligingsadviezen van Microsoft. Het is daarom erg opvallend dat dit trucje zo lang gebruikt is.
Niet waar, want dan werkt MS sharepoint ook niet meer.
Waarom?
Sharepoint heeft helemaal geen afhankelijkheid van SMB.

Het advies is juist een hele goede, blockeer TCP445 richting het Internet. Nadeel is dat dit bij veel consumenten firewalls/NAT oplossingen niet werkt. Gelukkig blockeren dan sommige ISP's dit wel weer automatisch.
445 staat er anders wel tussen: https://www.sharepointdiary.com/2010/04/ports-used-by-sharepoint.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.