פרצת אבטחה קריטית במערכות Windows מאפשרת להאקרים לפרוץ למחשבים

הסוכנות לאבטחת סייבר ותשתיות של ארה"ב (CISA) הזהירה מפני פרצת אבטחה חמורה ב-Outlook האפשרת להאקרים לפרוץ למחשבים רק באמצעות שליחת אימייל - אפילו מבלי שהקורבן יצטרך לפתוח קובץ מצורף.

לפי הדו"ח שהוציאה Experis Cyber ללקוחותיה הפרצה, אשר קיבלה את השם CVE-2024-21413, והתגלתה על ידי חוקר של חברת Check Point, מאפשרת לתוקפים לעקוף את ההגנות של Outlook ולבצע קוד זדוני מרחוק. מדובר בסוג של מתקפה מתוחכמת במיוחד, שכן היא מתרחשת ברקע ללא ידיעת המשתמש, ולכן חשוב להיות ערניים ולעדכן תוכנות בהקדם האפשרי.

הבעיה נובעת מבדיקת קלט לקויה בגרסאות מסוימות של Outlook, מה שמאפשר לפתוח קבצים מסוכנים במצב עריכה במקום במצב מוגן (Protected View). התוקפים משתמשים בטכניקה בשם "Moniker Link" כדי להחדיר קישורים זדוניים לאימיילים באמצעות פרוטוקול/:file וטריק קטן - הוספת סימן קריאה אחרי ה-extension של הקובץ. ברגע שהמשתמש לוחץ על הקישור, Outlook מתקשר ישירות לשרת הנשלט על ידי התוקף, מה שעלול להוביל לגניבת פרטי התחברות (NTLM credentials) ולהרצת קוד זדוני.

הפרצה משפיעה על מגוון גרסאות של Microsoft Office, כולל Outlook 2016, Office 2019, Microsoft 365

ו-LTSC 2021. יש לציין כי מיקרוסופט תיקנה את הפרצה לפני שנה אך הזהירה כי גם תצוגה מקדימה (Preview Pane) עלולה להספיק כדי להפעיל את התקיפה.

הסוכנות לאבטחת סייבר ותשתיות של ארה"ב (CISA) הזהירה רשמית כי הפרצה מנוצלת כעת בפועל והוסיפה אותה לרשימת הפרצות המסוכנות ביותר שלה. יתרה מכך, כל הסוכנויות הפדרליות בארה"ב מחויבות לתקן את הפרצות עד ה-27 בפברואר כדי למנוע התקפות נוספות. CISA ממליצה גם לכלל הארגונים הפרטיים למהר ולבצע עדכונים כדי להגן על עצמם מפני התקפות שעדיין מתרחשות בשטח.

מומחי Experis Cyber ממליצים לחברות בארץ לעדכן באופן מיידי את Outlook וכל גרסאות Microsoft Office הרלוונטיות לגרסאות האחרונות הכוללות תיקוני אבטחה. כמו כן, מומלץ להקפיד על שימוש במצב Protected View בעת פתיחת קבצים מצורפים ממקורות לא מוכרים.