Microsoft Outlook'ta Ayrıcalık Yükselmesi Güvenlik Açığı

Microsoft Outlook'ta Ayrıcalık Yükselmesi Güvenlik Açığı

14.03.2023 tarihinde Microsoft “Microsoft Outlook'ta Ayrıcalık Yükselmesi” zafiyetini açıkladı.

Zafiyet CVE-2023-23397 olarak takip ediliyor ve istismarı parola hash’lerinin çalınmasına neden oluyor.

Zafiyet o kadar kritik bir durum daki exploit kodu çoktan yayınlanmış ve zafiyet istismar edilmiş durumda.

Zafiyete karşı adeta zamanla yarıştığımız bir gerçek. Bunun için zaman kaybetmeden gerekli aksiyonların alınması büyük önem taşıyor.

Bizde sizler için küçük bir rehber hazırladık.

Aşağıdaki listeyi organizasyonlarınız için uygulayarak sadırının etkisini azaltabilirsiniz.

Zafiyetinin detaylarına baktığımızda saldırganlar, kontrolleri altındaki bir SMB paylaşımına (TCP 445) UNC yolları içeren MAPI özelliklerine sahip mesajlar göndererek zafiyettten yararlanabilir.

Güvenlik açığı Microsoft Outlook’un tüm sürümlerini etkiliyor ancak Android, iOS veya macOS sürümlerini etkilemiyor.

Etkilenen Sistemler

• Microsoft Outlook 2016 (64-bit edition)
• Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
• Microsoft Outlook 2013 RT Service Pack 1
• Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
• Microsoft Office 2019 for 32-bit editions
• Microsoft 365 Apps for Enterprise for 32-bit Systems
• Microsoft Office 2019 for 64-bit editions
• Microsoft 365 Apps for Enterprise for 64-bit Systems
• Microsoft Office LTSC 2021 for 64-bit editions
• Microsoft Outlook 2016 (32-bit edition)
• Microsoft Office LTSC 2021 for 32-bit editions

IoC’ler

-

Çözüm Önerileri

1. Bu ay yayınlanan Exchange Server updatelerini zaman kaybetmeden yükleyiniz. Eksik Exchange Server updateleriniz varsa zaman kaybetmeden tamamlayınız.
2. Office güncellemelerini zaman kaybetmeden yapınız.
3. Domain Admis, Schema Admins, Enterprise Admins gibi gruplara üye olan kritik hesaplar dediğimiz sensitive accounts’ları(kritik sistemlere erişimi olan hesapları); Protected Users grubuna ekleyin böylece trafiği kerberos ile şifrelemiş olacaksınız.

4. Domain Admis, Schema Admins, Enterprise Admins gibi gruplara üye olan kritik hesaplar dediğimiz sensitive accounts’ların(kritik sistemlere erişimi olan hesapların); özelliklerine girerek “account is sensitive and cannot be delegated” seçeneğini işaretleyin. Böylece bu hassas hesaplara delegation atanamıyacaktır.

5. Microsoft’un bu zafiyetten etkilenen eposta hesaplarının tespit etmek ve temizlemek içim; yayınladığı scripti kullanarak kontrollerini sağlayınız.

CVE / CWE

CVE-2023-23397

Ek Bilgiler

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
• https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/

* CVSS 3.1 skoru (9,8 üzerinden) 9,1/“yüksek”
* 9.0-10.0 arası olanlar “kritik” zafiyet olarak değerlendirilmektedir.