Microsoft ujawnił krytyczną podatność w aplikacji Outlook na system Windows. Może ona prowadzić do zdalnego przejęcia konta bez udziału użytkownika. Zagrożone są wszystkie wersje Outlooka na Windowsa. Nie ma ryzyka dla usług chmurowych M365, jak też Outlooka na Androida, iOS i macOS.

„Zalecamy podjęcie natychmiastowych działań przez administratorów wszystkich organizacji, których użytkownicy korzystają z poczty poprzez klienta Microsoft Outlook” – ogłosił pełnomocnik rządu ds. cyberbezpieczeństwa (jest nim Janusz Cieszyński).

„Można spodziewać się masowych ataków w najbliższych dniach” – ostrzega CERT Polska.

Jak informuje pełnomocnik, w Polsce ujawnioną podatność wykorzystano w atakach przeprowadzanych przez grupę powiązaną z rosyjskim rządem już od kwietnia 2022 r.

Krytyczny błąd w Outlooku pozwala na przejęcie kontroli nad kontem użytkownika poprzez atak słownikowy (metoda prób i błędów w celu odkrycia danych logowania) albo bezpośrednie użycie sesji użytkownika do zalogowania w innych usługach organizacji.

Aby przeprowadzić atak wystarczy, że ofiara otrzyma odpowiednią wiadomość e-mail. Nie potrzeba do tego żadnego innego działania użytkownika.

Co trzeba zrobić

Pełnomocnik rządu ds. cyberbezpieczeństwa zaleca administratorom aktualizację Outlooka zgodnie z wytycznymi Microsoftu.

Zaleca również zapoznanie się z rekomendacjami CERT Polska, a także stosowanie silnych haseł i uwierzytelniania dwuskładnikowego.

Organizacje mogą sprawdzić swoje bezpieczeństwo

Microsoft udostępnił narzędzie dla administratorów, które pozwala sprawdzić, czy użytkownicy w danej organizacji otrzymali e-maile umożliwiające wykorzystanie podatności.

Warto dodać, że programy biurowe Microsoftu nadal będą wykorzystywane w administracji. Centrum Obsługi Administracji Rządowej na zakup kolejnych pakietów Microsoft Office przeznaczyło blisko 79 mln zł. Na początku marca br. otwarto oferty w przetargu na to zamówienie.