В петък Microsoft сподели насоки, с които да помогне на клиентите да открият индикатори за компрометиране (IoC), свързани с наскоро поправена уязвимост в Outlook.
Проследен като CVE-2023-23397 (CVSS оценка: 9,8), критичният недостатък се отнася до случай на повишаване на привилегиите, който може да бъде използван за кражба на хешове на NT Lan Manager (NTLM) и организиране на релейна атака, без да е необходимо никакво взаимодействие с потребителя.
„Външните нападатели могат да изпратят специално създадени имейли, които да предизвикат връзка от жертвата към ненадеждно място, контролирано от нападателите“, отбеляза компанията в консултация, публикувана този месец.
„Това ще доведе до изтичане на Net-NTLMv2 хеша на жертвата към ненадеждната мрежа, който атакуващият може след това да препрати към друга услуга и да се удостовери като жертвата.“
Уязвимостта беше отстранена от Microsoft като част от актуализациите Patch Tuesday за март 2023 г., но не и преди базирани в Русия хакерски групировки да използват дефекта в атаки, насочени към правителствени, транспортни, енергийни и военни сектори в Европа.
Екипът за реакция при инциденти на Microsoft заяви, че е открил доказателства за потенциална експлоатация на недостатъка още през април 2022 г.
В една от веригите за атаки, описани от технологичния гигант, успешната атака Net-NTLMv2 Relay е позволила на извършителя да получи неоторизиран достъп до сървър на Exchange и да модифицира разрешенията за папки на пощенски кутии за постоянен достъп.
След това компрометираният имейл акаунт е използван за разширяване на достъпа на противника в компрометираната среда чрез изпращане на допълнителни злонамерени съобщения, насочени към други членове на същата организация.
„Въпреки че използването на NTLMv2 хешове за получаване на неоторизиран достъп до ресурси не е нова техника, използването на CVE-2023-23397 е ново и скрито“, заявиха от Microsoft.
„Организациите трябва да прегледат регистрирането на събитията на SMBClient, събитията за създаване на процеси и друга налична мрежова телеметрия, за да идентифицират потенциална експлоатация чрез CVE-2023-23397.“
Разкритието идва в момент, когато Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) публикува нов инструмент с отворен код за реагиране на инциденти, който помага за откриване на признаци на злонамерена дейност в облачните среди на Microsoft.
Наречена Untitled Goose Tool, базираната на Python помощна програма предлага „нови методи за удостоверяване и събиране на данни“ за анализ на средите Microsoft Azure, Azure Active Directory и Microsoft 365, съобщи агенцията.
По-рано тази година Microsoft също така призова клиентите си да актуализират локалните си Exchange сървъри, както и да предприемат стъпки за укрепване на мрежите си, за да намалят потенциалните заплахи.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.