В петък Microsoft сподели насоки, с които да помогне на клиентите да открият индикатори за компрометиране (IoC), свързани с наскоро поправена уязвимост в Outlook.

Проследен като CVE-2023-23397 (CVSS оценка: 9,8), критичният недостатък се отнася до случай на повишаване на привилегиите, който може да бъде използван за кражба на хешове на NT Lan Manager (NTLM) и организиране на релейна атака, без да е необходимо никакво взаимодействие с потребителя.

„Външните нападатели могат да изпратят специално създадени имейли, които да предизвикат връзка от жертвата към ненадеждно място, контролирано от нападателите“, отбеляза компанията в консултация, публикувана този месец.

„Това ще доведе до изтичане на Net-NTLMv2 хеша на жертвата към ненадеждната мрежа, който атакуващият може след това да препрати към друга услуга и да се удостовери като жертвата.“

 

Уязвимостта беше отстранена от Microsoft като част от актуализациите Patch Tuesday за март 2023 г., но не и преди базирани в Русия хакерски групировки да използват дефекта в атаки, насочени към правителствени, транспортни, енергийни и военни сектори в Европа.

Екипът за реакция при инциденти на Microsoft заяви, че е открил доказателства за потенциална експлоатация на недостатъка още през април 2022 г.

В една от веригите за атаки, описани от технологичния гигант, успешната атака Net-NTLMv2 Relay е позволила на извършителя да получи неоторизиран достъп до сървър на Exchange и да модифицира разрешенията за папки на пощенски кутии за постоянен достъп.

 

След това компрометираният имейл акаунт е използван за разширяване на достъпа на противника в компрометираната среда чрез изпращане на допълнителни злонамерени съобщения, насочени към други членове на същата организация.

„Въпреки че използването на NTLMv2 хешове за получаване на неоторизиран достъп до ресурси не е нова техника, използването на CVE-2023-23397 е ново и скрито“, заявиха от Microsoft.

„Организациите трябва да прегледат регистрирането на събитията на SMBClient, събитията за създаване на процеси и друга налична мрежова телеметрия, за да идентифицират потенциална експлоатация чрез CVE-2023-23397.“

Разкритието идва в момент, когато Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) публикува нов инструмент с отворен код за реагиране на инциденти, който помага за откриване на признаци на злонамерена дейност в облачните среди на Microsoft.

Наречена Untitled Goose Tool, базираната на Python помощна програма предлага „нови методи за удостоверяване и събиране на данни“ за анализ на средите Microsoft Azure, Azure Active Directory и Microsoft 365, съобщи агенцията.

По-рано тази година Microsoft също така призова клиентите си да актуализират локалните си Exchange сървъри, както и да предприемат стъпки за укрепване на мрежите си, за да намалят потенциалните заплахи.

Източник: The Hacker News

Подобни публикации

23 април 2025

Азиатски престъпни мрежи разширяват дейността с...

Престъпни синдикати от Източна и Югоизточна Азия пренасят доходонос...
22 април 2025

3дравни организации станаха жертва на мащабни п...

Две здравни организации в САЩ потвърдиха, че са станали обект на се...
22 април 2025

Културата – почвата на киберсигурността, а не о...

Когато става въпрос за киберсигурност, хората често си представят с...
22 април 2025

Microsoft извършва най-мащабната реформа в кибе...

Microsoft обяви, че е завършила „най-големия проект за инжене...
22 април 2025

Севернокорейски хакери използват Zoom за кражба...

Севернокорейски киберпрестъпници са усъвършенствали тактиките си за...
22 април 2025

Exaforce с амбиция да преосмисли SOC: 75 милион...

Сан Франсиско се превръща във все по-важен хъб за иновации в киберс...
21 април 2025

Kenzo Security: Иновативна платформа за киберси...

Стартъпът Kenzo Security обяви излизането си от скрит режим, съобща...
21 април 2025

Нарастващата заплаха от злонамерени ботове с ИИ

Интернет вече не е предимно човешко пространство. През 2024 г. авто...
Бъдете социални
Още по темата
22/04/2025

Microsoft извършва най-маща...

Microsoft обяви, че е завършила „най-големия проект...
13/04/2025

Paper Werewolf се насочва к...

Koлективът, известен също като Goffee, е...
10/04/2025

CISA призовава за спешна по...

Американската агенция за киберсигурност CISA призова...
Последно добавени
23/04/2025

Азиатски престъпни мрежи ра...

Престъпни синдикати от Източна и Югоизточна...
22/04/2025

3дравни организации станаха...

Две здравни организации в САЩ потвърдиха,...
22/04/2025

Културата – почвата на кибе...

Когато става въпрос за киберсигурност, хората...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!