REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Księgowość » Wiadomości » Luka bezpieczeństwa w Microsoft Outlook. Konieczna natychmiastowa interwencja administratorów

Luka bezpieczeństwa w Microsoft Outlook. Konieczna natychmiastowa interwencja administratorów

Subskrybuj nas na Youtube
15 marca 2023, 15:38
Luka bezpieczeństwa w Microsoft Outlook. Konieczna natychmiastowa interwencja administratorów
Luka bezpieczeństwa w Microsoft Outlook. Konieczna natychmiastowa interwencja administratorów
Shutterstock

REKLAMA

REKLAMA

Pełnomocnik Rządu ds. Cyberbezpieczeństwa w komunikacie z 15 marca 2023 r. poinformował, że Microsoft opublikował informację o krytycznej (czyli łatwej do wykorzystania i o szerokich skutkach) podatności w aplikacji Outlook na systemie Windows. Może ona prowadzić do zdalnego przejęcia konta, bez udziału użytkownika. Podatność była aktywnie używana w atakach przeprowadzanych przez jedną z grup powiązanych z rosyjskim rządem od kwietnia 2022 roku, w tym także w Polsce. Zalecane jest podjęcie natychmiastowych działań przez administratorów wszystkich organizacji, których użytkownicy korzystają z poczty poprzez klienta Microsoft Outlook.

Możliwe przejęcie kontroli nad kontem na 2 sposoby

Podatność pozwala na przejęcie kontroli nad kontem użytkownika na dwa sposoby. Jedna metoda pozwala uzyskać hasło poprzez atak słownikowy, czyli taki, który wykorzystuje metodę prób i błędów w celu odkrycia danych logowania. Przeprowadzenie takiego ataku jest łatwiejsze, gdy mamy krótkie hasło – ilość kombinacji do sprawdzenia jest wtedy zwyczajnie mniejsza. 

Druga metoda pozwala na bezpośrednie użycie sesji użytkownika do zalogowania w innych usługach organizacji. 

Do przeprowadzenia ataku wystarczy otrzymanie przez ofiarę odpowiedniej wiadomości e-mail. Nie jest wymagane żadne działanie użytkownika. Atak może zostać przeprowadzony zdalnie. Pozyskane hasło domenowe może być użyte do logowania do innych dostępnych publicznie usług firmowych. Jeśli nie jest wykorzystywane uwierzytelnianie dwuskładnikowe, może to doprowadzić do uzyskania przez atakującego dostępu do sieci firmowej.

Jak się bronić?

Podatne są wszystkie wersje Microsoft Outlook na platformę Windows. Nie są podatne wersje na platformy Android, iOS, czy macOS. Usługi chmurowe, takie jak Microsoft 365 również nie są podatne.

Pierwszym krokiem, który powinni podjąć administratorzy to aktualizacja aplikacji zgodnie z wytycznymi na dedykowanej stronie: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

Pełnomocnik Rządu ds. Cyberbezpieczeństwa radzi również zapoznanie się z rekomendacjami przygotowanymi przez zespół CERT Polska i dostępnych tutaj: Aktywnie wykorzystywana krytyczna podatność w Microsoft Outlook (CVE-2023-23397) | CERT Polska

Warto też przypomnieć, że stosowanie silnych haseł znacząco utrudni wykorzystanie podatności przez cyberprzestępców. O tym jak tworzyć takie hasła przeczytać można tutaj: Hasła | CERT Polska. Istotnym zaleceniem jest także stosowanie uwierzytelniania dwuskładnikowego, w szczególności do usług wystawionych do internetu.

Jak organizacje mogą sprawdzić swoje bezpieczeństwo?

Firma Microsoft udostępniła narzędzie, dzięki któremu organizacje mogą sprawdzić czy jej użytkownicy otrzymali wiadomości umożliwiające wykorzystanie podatności. 
Jest ono dostępne dla administratorów tutaj: https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/

W przypadku wykrycia prób wykorzystania podatności konieczne będzie rozpoczęcie procedury obsługi incydentu oraz skontaktowanie się z właściwym zespołem CSIRT.

Źródło: Cyfryzacja KPRM

Zapisz się na newsletter
Chcesz uniknąć błędów? Być na czasie z najnowszymi zmianami w podatkach? Zapisz się na nasz newsletter i otrzymuj rzetelne informacje prosto na swoją skrzynkę.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: Kancelaria Prezesa Rady Ministrów
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Prof. Modzelewski: Większość podatników VAT może uniknąć w 2026 r. obowiązku wystawiania faktur ustrukturyzowanych w KSeF. Jak?
07 maja 2025

Zdaniem profesora Witolda Modzelewskiego, gdyby uchwalono projekt przepisów wprowadzających obowiązkowy KSeF w przedłożonym niedawno kształcie, to większość podatników VAT nie będzie musiała wystawiać faktur ustrukturyzowanych w 2026 r.

Stopy procentowe NBP 2025: w maju obniżka o 0,5 pkt proc.
07 maja 2025

Rada Polityki Pieniężnej na posiedzeniu w dniach 6-7 maja 2025 r. postanowiła obniżyć wszystkie stopy procentowe NBP o 0,5 punktu procentowego. Stopa referencyjna wynosi od 8 maja 2025 r. 5,25 proc. - poinformował w komunikacie Narodowy Bank Polski. Decyzja RPP była zgodna z oczekiwaniami większości analityków finansowych i ekonomistów. Stopy NBP zmieniły się pierwszy raz od 3 października 2023 r.
Przekształcenie JDG a status podatnika rozpoczynającego działalność w estońskim CIT
07 maja 2025

W świetle marcowego wyroku NSA (sygn. II FSK 1412/24) zmienia się podejście do kwalifikacji podatkowej spółek powstałych z przekształcenia jednoosobowych działalności gospodarczych. Wyrok ten przesądził, że takie podmioty mogą korzystać z przywilejów "podatnika rozpoczynającego działalność" na gruncie przepisów o estońskim CIT.
Pracujesz na zleceniu - a może to faktyczna umowa o pracę? Jak ustalić i wykazać istnienie stosunku pracy
07 maja 2025

Osoby wykonujące umowy zlecenia, czy inne umowy cywilnoprawne, mają czasem wątpliwości, czy nie jest to de facto umowa o pracę. Każdy przedsiębiorca słyszał o możliwych kontrolach, podważeniu zatrudnienia, konieczności uzasadniania dlaczego taki a nie inny typ umowy został konkretnej osobie zaproponowany. A co ze swobodą zawierania umów? Czy forma umowy na którą zgadzamy się wspólnie z nowozatrudnioną osobą nie powinna być wystarczająca dla inspekcji pracy skoro zgodnie obie strony złożyły na niej swój podpis? Na te i wiele innych pytań odpowie Czytelnikom ten artykuł.

REKLAMA

Zmiany w podatkach od 2026 r. - wyższy limit zwolnienia z VAT, korekty deklaracji, 6 m-cy vacatio legis
06 maja 2025

Ministerstwo Finansów poinformowało, że 6 maja 2025r. Rada Ministrów przyjęła pakiet projektów ustaw dot. podatków w ramach procesu deregulacji. Nowe przepisy mają na celu m.in. ochronę podatników przed nagłymi zmianami przepisów ustaw podatkowych oraz doprecyzowanie wątpliwości interpretacyjnych zgłaszanych przez przedsiębiorców w zakresie deklaracji składanej w trakcie lub po zakończeniu kontroli celno-skarbowej. Projekty dotyczą również podwyższenia limitu zwolnienia podmiotowego w VAT oraz likwidacji obowiązku przygotowywania i publikacji informacji o realizowanej strategii podatkowej.
Czego najczęściej dotyczą kontrole z urzędu skarbowego i ZUS-u?
06 maja 2025

Przedsiębiorcy mają szereg obowiązków wobec państwa - jako podatnicy muszą przestrzegać przepisów podatkowych, a jako płatnicy stosować normy z zakresu ubezpieczeń społecznych. W obu tych sferach często dochodzi do uchybień. Dlatego upoważnione organy sprawdzają, czy firmy przestrzegają obowiązujących przepisów. W naszym artykule przedstawiamy najczęstsze obszary, które podlegają kontroli organów podatkowych lub Zakładu Ubezpieczeń Społecznych.
Pozwani przez PFR – jak program pomocy dla firm stał się przyczyną tysięcy pozwów? Sprawdź, jak się bronić
05 maja 2025

Ponad 16 tysięcy firm już otrzymało pozew z Polskiego Funduszu Rozwoju [i]. Kolejne są w drodze. Choć Tarcza Finansowa miała być tarczą – dla wielu stała się źródłem wieloletnich problemów prawnych.
Kawa z INFORLEX. Nowy plan wdrożenia KSeF
05 maja 2025

Spotkania odbywają się w formule „na żywo” o godzinie 9.00. Przy porannej kawie poruszamy najbardziej aktualne tematy, które stanowią także zasób kompleksowej bazy wiedzy INFORLEX. Rozmawiamy o podatkach, księgowości, rachunkowości, kadrach, płacach oraz HR. 15 maja br. tematem spotkania będzie nowy plan wdrożenia KSeF.

REKLAMA

Zatrudnianie osób z niepełnosprawnościami w 2025 r. Jak i ile można zaoszczędzić na wpłatach do PFRON? Case study i obliczenia dla pracodawcy
03 maja 2025

Dlaczego 5 maja to ważna data w kontekście integracji i równości? Co powstrzymuje pracodawców przed zatrudnianiem osób z niepełnosprawnościami? Jakie są obowiązki pracodawcy wobec PFRON? Wyjaśniają eksperci z HRQ Ability Sp. z o.o. Sp. k. I pokazują na przykładzie ile może zaoszczędzić firma na zatrudnieniu osób z niepełnosprawnościami.
Koszty NKUP w księgach rachunkowych - klasyfikacja i księgowanie
30 kwi 2025

– W praktyce rachunkowej i podatkowej przedsiębiorcy często napotykają na wydatki, które - mimo że wpływają na wynik finansowy jednostki - to jednak nie mogą zostać zaliczone do kosztów uzyskania przychodów (tzw. NKUP) – zauważa Beata Tęgowska, ekspertka ds. księgowości i płac z Systim.pl i wyjaśnia jak je prawidłowo klasyfikować i księgować?

REKLAMA