Haberler

Kritik “Microsoft Outlook (CVE-2023-23397)” Zafiyeti Ve Alınması Gereken Önlemler

Mart ayına kritik “Microsoft Outlook Elevation of Privilege Vulnerability” zafiyeti ile başladık. Zafiyet CVE-2023-23397 olarak takip ediliyor ve istismarı parola hash’lerinin çalınmasına neden oluyor. Zafiyet o kadar kritik bir durum daki exploit kodu çoktan yayınlmış ve zafiyet istismar edilmiş durumda.

Zafiyete karşı adeta zamanla yarıştığımız bir gerçek. Bunun için zaman kaybetmeden gerekli aksiyonların alınması büyük önem taşıyor. Bizde sizler için küçük bir rehber hazırladık. Aşağıdaki listeyi organizasyonlarınız için uyguluyarak sadırının etkisini azaltabilirsiniz.

Zafiyetinin detaylarına baktığımızda saldırganlar, kontrolleri altındaki bir SMB paylaşımına (TCP 445) UNC yolları içeren MAPI özelliklerine sahip mesajlar göndererek zafiyettten yararlanabilir. Güvenlik açığı Microsoft Outlook’un tüm sürümlerini etkiliyor ancak Android, iOS veya macOS sürümlerini etkilemiyor.

Etkilenen sürümler:

Microsoft Outlook 2016 (64-bit edition)
Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
Microsoft Office 2019 for 32-bit editions
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Office 2019 for 64-bit editions
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Outlook 2016 (32-bit edition)
Microsoft Office LTSC 2021 for 32-bit editions

Alınması gereken önlemler

1 – Bu ay yayınlanan Exchange Server updatelerini zaman kaybetmeden yükleyiniz. Eksik Exchange Server updateleriniz varsa zaman kaybetmeden tamamlayınız.

2 – Office güncellemelerini zaman kaybetmeden yapınız.

3 – Domain Admis, Schema Admins, Enterprise Admins gibi gruplara üye olan kritik hesaplar dediğimiz sensitive accounts’lar ile kritik sistemlere erişimi olan hesapları Protected Users grubuna ekleyin böyleye trafiği kerberos ile şifrelemiş olacaksınız.

4 – Domain Admis, Schema Admins, Enterprise Admins gibi gruplara üye olan kritik hesaplar dediğimiz sensitive accounts’lar ile kritik sistemlere erişimi olan hesapların özelliklerine girerek “account is sensitive and cannot be delegated” seçeneğini işaretleyin. Böylece bu hassas hesaplara delegation atanamıyacaktır.

5 – Microsoft’un bu zafiyetten etkilenen eposta hesaplarının tespit etmek ve temizlemek için yayınladığı scripti kullanarak kontrollerini sağlayınız. Buradan erişebilirsiniz.

6 – Kritk hesapların kullandığı cihazlarda hem windows firewall hemde kurumsal firewall üzerinde SMB portu olan 445’i outbouad yönünde blocklayın.

7 – SIEM ürünlerine gerekli kuralları yazarak outlook erişim eventleri için alarm oluşturun.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu