Populárny e-mailový klient medzi Slovákmi má závažnú slabinu. Okamžite ho aktualizujte, inak ste ľahkým cieľom pre hackerov!
Bezpečnostní experti odhalili v klientovi Outlook závažnú zero-click bezpečnostnú slabinu. Odporúčajú okamžitú aktualizáciu.
Bezpečnostní experti z Morphisec odhalili ďalšiu kritickú slabinu, ktorá postihuje mailového klienta Microsoft Outlook. Tentokrát ide o mimoriadne závažnú zero-click slabinu, ktorá nevyžaduje zásah užívateľa.
Vo väčšine prípadov potrebujú útočníci, aby ich obete klikli na falošný odkaz, infikovanú prílohu alebo si stiahli podvodnú aplikáciu. Zero-click slabiny, po našom „nula-kliknutí“, sa dokážu spustiť bez toho, aby užívateľ s malvérom akokoľvek interagoval. Novú slabinu monitorujú bezpečnostní analytici pod kódom CVE-2024-30103 a ide o slabinu, ktorá hackerom umožňuje spustiť škodlivý kód na diaľku. Slabina zasahuje väčšinu Outlook klientov.
Okamžite aktualizujte Outlook
Táto slabina sa nešíri len z útočníka na obeť, ale môže sa šíriť aj medzi užívateľmi. Na jej spustenie sa nevyžaduje nič iné, len aby užívateľ otvoril mail, ktorého sa slabina týka. Ako poznamenávajú bezpečnostní analytici, táto slabina je ešte nebezpečnejšia, ak užívateľ používa funkciu na automatické otváranie mailu.
“CVE-2024-30103 je mimoriadne znepokojivá slabina preto, lebo ju môžu kyberzločinci veľmi ľahko zneužiť. Keďže ide o zero-click slabinu, nevyžaduje sa interakcia užívateľa s obsahom škodlivého mailu. Aj vďaka tomu sa extrémne jednoducho spúšťa,” vysvetľujú analytici.
Útoky prebiehajú priamočiaro a keďže sa nevyžaduje interakcia užívateľa, kyberzločinci môžu túto slabinu využiť aby sa dostali do systému. Keď sa tak stane, následne môžu spustiť akýkoľvek kód s rovnakými oprávneniami, aké má užívateľ. To môže v najhorších prípadoch viesť k napadnutiu celého počítača.
Bezpečnostní experti vysvetľujú, že Microsoft už slabinu zaevidoval a 11. júna vydal aktualizáciu, ktorá slabinu opravuje. Keďže ale aktualizácia vyšla len pred niekoľkými dňami, existuje veľká šanca, že sa na väčšine systémov ešte nenachádza. Ak teda používate Microsoft Outlook ako mailového klienta, odporúčame čo najrýchlejšie aktualizáciu nainštalovať.
Neprehliadnite
Podvodné maily sa objavujú čoraz častejšie
Zero-click slabiny sú vo sfére kyberbezpečnosti síce mimoriadne závažné, no nie až tak časté prípady, ako iné formy útoku. Najčastejšie sa vás hackeri pokúsia oklamať cez niekedy jednoduchý, no stále mimoriadne efektívny phishing. Phishing pod sebou zastrešuje širokú škálu podvodov alebo útokov, ktoré sa vyznačujú veľmi podobnými scenármi.
Všetko sa začína e-mailom v schránke, ktorý sa na prvý pohľad javí ako mail od banky, pošty, kuriéra alebo inej oficiálnej inštitúcie. Nedávno bezpečnostní experti informovali o netradičnej phishingovej kampani “more_eggs”, ktorá využívala na distribúciu malvéru falošné stránky so životopismi a útočila hlavne na recruiterov alebo zamestnávateľov na LinkedIne.
Kľudne sa vám ale môže stať, že vám banka pošle správu, v ktorej vám oznamuje, že vám z bezpečnostného dôvodu deaktivujú účet a musíte sa prihlásiť cez priložený odkaz, aby ste o účet neprišli. Toto je jasný príklad phishingu a stačí len chvíľa nepozornosti, aby sa aj skúsený človek stal obeťou.
Ako môžete vidieť vyššie, správa vyzerá realisticky, dokonca aj priložený odkaz. Podvodníkov však prezradila mailová adresa, z ktorej phishingovú správu poslali. Ak si ale nie ste istí dôveryhodnosťou správy, radšej na mail nereagujte. Dobré je si zapamätať aj to, že banka, alebo akákoľvek iná inštitúcia, nerieši citlivé osobné veci cez internet.
Komentáre