REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Luka bezpieczeństwa w Microsoft Outlook. Konieczna natychmiastowa interwencja administratorów

Luka bezpieczeństwa w Microsoft Outlook. Konieczna natychmiastowa interwencja administratorów
Luka bezpieczeństwa w Microsoft Outlook. Konieczna natychmiastowa interwencja administratorów
Shutterstock

REKLAMA

REKLAMA

Pełnomocnik Rządu ds. Cyberbezpieczeństwa w komunikacie z 15 marca 2023 r. poinformował, że Microsoft opublikował informację o krytycznej (czyli łatwej do wykorzystania i o szerokich skutkach) podatności w aplikacji Outlook na systemie Windows. Może ona prowadzić do zdalnego przejęcia konta, bez udziału użytkownika. Podatność była aktywnie używana w atakach przeprowadzanych przez jedną z grup powiązanych z rosyjskim rządem od kwietnia 2022 roku, w tym także w Polsce. Zalecane jest podjęcie natychmiastowych działań przez administratorów wszystkich organizacji, których użytkownicy korzystają z poczty poprzez klienta Microsoft Outlook.

Możliwe przejęcie kontroli nad kontem na 2 sposoby

Podatność pozwala na przejęcie kontroli nad kontem użytkownika na dwa sposoby. Jedna metoda pozwala uzyskać hasło poprzez atak słownikowy, czyli taki, który wykorzystuje metodę prób i błędów w celu odkrycia danych logowania. Przeprowadzenie takiego ataku jest łatwiejsze, gdy mamy krótkie hasło – ilość kombinacji do sprawdzenia jest wtedy zwyczajnie mniejsza. 

Druga metoda pozwala na bezpośrednie użycie sesji użytkownika do zalogowania w innych usługach organizacji. 

Do przeprowadzenia ataku wystarczy otrzymanie przez ofiarę odpowiedniej wiadomości e-mail. Nie jest wymagane żadne działanie użytkownika. Atak może zostać przeprowadzony zdalnie. Pozyskane hasło domenowe może być użyte do logowania do innych dostępnych publicznie usług firmowych. Jeśli nie jest wykorzystywane uwierzytelnianie dwuskładnikowe, może to doprowadzić do uzyskania przez atakującego dostępu do sieci firmowej.

Jak się bronić?

Podatne są wszystkie wersje Microsoft Outlook na platformę Windows. Nie są podatne wersje na platformy Android, iOS, czy macOS. Usługi chmurowe, takie jak Microsoft 365 również nie są podatne.

Pierwszym krokiem, który powinni podjąć administratorzy to aktualizacja aplikacji zgodnie z wytycznymi na dedykowanej stronie: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

Pełnomocnik Rządu ds. Cyberbezpieczeństwa radzi również zapoznanie się z rekomendacjami przygotowanymi przez zespół CERT Polska i dostępnych tutaj: Aktywnie wykorzystywana krytyczna podatność w Microsoft Outlook (CVE-2023-23397) | CERT Polska

Warto też przypomnieć, że stosowanie silnych haseł znacząco utrudni wykorzystanie podatności przez cyberprzestępców. O tym jak tworzyć takie hasła przeczytać można tutaj: Hasła | CERT Polska. Istotnym zaleceniem jest także stosowanie uwierzytelniania dwuskładnikowego, w szczególności do usług wystawionych do internetu.

Jak organizacje mogą sprawdzić swoje bezpieczeństwo?

Firma Microsoft udostępniła narzędzie, dzięki któremu organizacje mogą sprawdzić czy jej użytkownicy otrzymali wiadomości umożliwiające wykorzystanie podatności. 
Jest ono dostępne dla administratorów tutaj: https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/

W przypadku wykrycia prób wykorzystania podatności konieczne będzie rozpoczęcie procedury obsługi incydentu oraz skontaktowanie się z właściwym zespołem CSIRT.

Źródło: Cyfryzacja KPRM

Autopromocja

REKLAMA

Źródło: Kancelaria Prezesa Rady Ministrów
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie - zapraszamy do subskrybcji naszego newslettera
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Podatek PIT - część 2
    certificate
    Jak zdobyć Certyfikat:
    • Czytaj artykuły
    • Rozwiązuj testy
    • Zdobądź certyfikat
    1/10
    Zeznanie PIT-37 za 2022 r. można złożyć w terminie do:
    30 kwietnia 2023 r. (niedziela)
    2 maja 2023 r. (wtorek)
    4 maja 2023 r. (czwartek)
    29 kwietnia 2023 r. (sobota)
    Następne
    Księgowość
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Krajowy Plan Odbudowy w Polsce w 2024 roku. Wyścig z czasem po 60 miliardów euro

    Zeszłotygodniowe informacje dotyczące odblokowania funduszy europejskich są optymistyczne – kierunek działań przyjęty przez polski rząd może liczyć na przychylność UE. Pamiętajmy jednak, że deklaracje te nie oznaczają, że środki na wspieranie reform i inwestycji zostaną nam „automatycznie” udostępnione - pisze Łukasz Kościjańczuk, partner w CRIDO.

    Czy laptop i wynajęte mieszkanie pracownika zagranicznej firmy to już zakład w Polsce?

    Pracownicy wykonujący pracę poza miejscem siedziby pracodawcy (lub innym miejscem określonym w umowie o pracę) mogą generować szereg konsekwencji podatkowych, zarówno dla pracownika, jak i dla pracodawcy, szczególnie gdy w grę wchodzi praca poza Polską, lub w Polsce, ale dla pracodawcy z innego kraju - pisze Dr Adam Barcikowski – Manager w Nexia Advcero.

    Niższy VAT od 1 kwietnia 2024 r. Stawka 8% dla usług kosmetycznych, manicure i pedicure

    Ministerstwo Finansów przygotowało już projekt rozporządzenia, które obniży od 1 kwietnia 2024 r. - z 23% do 8% – stawkę VAT na określone usługi kosmetyczne.

    Czas na reformę Unijnego Kodeksu Celnego

    Reforma (projektu) nowego Unijnego Kodeksu Celnego po konsultacjach społecznych. Od 2027 roku przewidywane jest wejście w życie nowego UKC. Będą to zmiany rewolucyjne w wielu aspektach, dziś obowiązujących przepisów prawa celnego. Wiarygodni przedsiębiorcy mają mieć znaczne uproszczenia oraz mamy przejść na „inteligentne” odprawy celne ze zwiększonym monitoringiem systemów informatycznych.

    Twój e-PIT wspólnie z małżonkiem

    Usługa Twój e-PIT umożliwia złożenie rocznego PIT wspólnie z małżonkiem. Kiedy jest to możliwe? Jakie działania należny wykonać?

    PGNiG obniża ceny gazu dla gospodarstw domowych. Ale nadal ponad 90 zł/MWh drożej od ceny zamrożonej do połowy 2024 roku

    W czwartek 29 lutego 2024 r. Prezes Urzędu Regulacji Energetyki zatwierdził obniżenie o 8,3 proc. (do 290,97 zł/MWh) zatwierdzonej w grudniu 2023 r. i obowiązującej w 2024 r. taryfy na sprzedaż gazu dla gospodarstw domowych i innych tzw. odbiorców uprawnionych przez spółkę PGNiG Obrót Detaliczny. Ale do 30 czerwca 2024 r. cena netto gazu dla odbiorców uprawnionych (w tym odbiorców w gospodarstwach domowych) została zamrożona na poziomie 200,17 zł/MWh.

    Ujednolicenie sprawozdań finansowych komitetów wyborczych. Jest projekt rozporządzenia w tej sprawie

    Ustawodawca przygotował projekt rozporządzenia w sprawie łącznego sprawozdania finansowego komitetu wyborczego, który zarejestrował kandydata na wójta, burmistrza, prezydenta miasta oraz listę kandydatów na radnych. Jakie rozwiązania znalazły się w projekcie?

    Tabela kursów średnich NBP z 29 lutego 2024 roku [nr 043/A/NBP/2024]

    Tabela kursów średnich waluty krajowej w stosunku do walut obcych ogłoszona przez NBP 29 lutego 2024 roku - nr 043/A/NBP/2024. Jaki dziś kurs euro? Jakie zmiany w kursach walut?

    Czy w ramach ulgi rehabilitacyjnej można odliczyć remont łazienki?

    Ulga rehabilitacyjna a remont łazienki. Czy możliwe jest odliczenie w ramach ulgi rehabilitacyjnej kosztów remontu, adaptacji  i wyposażenia łazienki dla osoby z orzeczeniem o niepełnosprawności?

    Księgowy na urlopie. Jak utrzymać płynność obsługi księgowej w firmie?

    Gdy księgowy udaje się na urlop, firma stoi przed wyzwaniem związanym nie tylko ze zorganizowaniem zastępstwa, ale również z utrzymaniem płynności obsługi księgowej. Podpowiadamy, jak przygotować firmę na taką sytuację.

    REKLAMA