עדכון חדש מתקן פגיעות יום אפס באאוטלוק, שרוסיה ניצלה

מיקרוסופט שחררה אתמול (ג') עדכון חשוב עבור אאוטלוק, תוכנת המייל שלה, שמתקן פגיעות יום אפס שנוצלה בידי האקרים רוסים מאז אפריל אשתקד. מדובר בקבוצת האקרים שמקושרת ל-GRU, שירות המודיעין הצבאי הרוסי, ולפי הדיווחים היא השתמשה בפגיעות נגד ארגונים ברחבי אירופה.

הקורבנות של הקבוצה היו יותר מ-15 ארגונים בתחומי הממשל, הצבא, האנרגיה והתחבורה. ככל הידוע, ההאקרים תקפו אותם באמצעות הפגיעות הזו עד דצמבר האחרון – אז הם התגלו על ידי קבוצת תגובות החירום הממוחשבת של אוקראינה, ה-CERT-UA.

לפי הבדיקה של מיקרוסופט, ההאקרים השתמשו בהודעת מייל בעלת מבנה מיוחד כדי לתקוף משתמשים באאוטלוק, ולאחר מכן להעביר את הודעת המשא ומתן מול פרוטוקול האימות NTLM למערכות אחרות שיודעות להשתמש בו. בעצם, היא השתמשה בכך לצורך החדירה למערכת, וכל זאת מבלי שהמשתמש בכלל שם לכך שהייתה חדירה, ומבלי שהוא יודע שהשליטה על המחשב שלו עלולה לעבור לשרת SMB שנמצא בשליטת התוקפים.

כן באאוטלוק ל-Windows, לא בגרסאות האחרות

הפגיעות שתוקנה משפיעה רק על הגרסאות של אאוטלוק לסביבת Windows. משתמשי אאוטלוק ב-iOS, ב-macOS ובאנדרואיד לא צריכים לחשוש. בנוסף, שירותי הדואר המקוונים של החברה, כמו אאוטלוק ו-Microsoft 365, לא משתמשים בפרוטוקול NTLM, כך שאין חשיפה לפגיעות.

יש לציין שהפגיעות קיבלה את המספור CVE-2023-23397, ובמיקרוסופט ממליצים לעדכן בדחיפות את אאוטלוק. בנוסף, החברה מסרה בבלוג שלה שהיא שחררה קובץ הרצה ל-PowerShell שיאפשר למנהלנים לבדוק האם משתמשים בסביבת האקסצ'יינג' שלהם נפגעו מהפגיעות הזו.