Microsoft: Руснаци използват скрита уязвимост на Outlook

В петък Microsoft сподели насоки, с които да помогне на клиентите да открият индикатори за компрометиране (IoC), свързани с наскоро поправена уязвимост в Outlook.

Проследен като CVE-2023-23397 (CVSS оценка: 9,8), критичният недостатък се отнася до случай на повишаване на привилегиите, който може да бъде използван за кражба на хешове на NT Lan Manager (NTLM) и организиране на релейна атака, без да е необходимо никакво взаимодействие с потребителя.

„Външните нападатели могат да изпратят специално създадени имейли, които да предизвикат връзка от жертвата към ненадеждно място, контролирано от нападателите“, отбеляза компанията в консултация, публикувана този месец.

„Това ще доведе до изтичане на Net-NTLMv2 хеша на жертвата към ненадеждната мрежа, който атакуващият може след това да препрати към друга услуга и да се удостовери като жертвата.“

 

Уязвимостта беше отстранена от Microsoft като част от актуализациите Patch Tuesday за март 2023 г., но не и преди базирани в Русия хакерски групировки да използват дефекта в атаки, насочени към правителствени, транспортни, енергийни и военни сектори в Европа.

Екипът за реакция при инциденти на Microsoft заяви, че е открил доказателства за потенциална експлоатация на недостатъка още през април 2022 г.

В една от веригите за атаки, описани от технологичния гигант, успешната атака Net-NTLMv2 Relay е позволила на извършителя да получи неоторизиран достъп до сървър на Exchange и да модифицира разрешенията за папки на пощенски кутии за постоянен достъп.

 

След това компрометираният имейл акаунт е използван за разширяване на достъпа на противника в компрометираната среда чрез изпращане на допълнителни злонамерени съобщения, насочени към други членове на същата организация.

„Въпреки че използването на NTLMv2 хешове за получаване на неоторизиран достъп до ресурси не е нова техника, използването на CVE-2023-23397 е ново и скрито“, заявиха от Microsoft.

„Организациите трябва да прегледат регистрирането на събитията на SMBClient, събитията за създаване на процеси и друга налична мрежова телеметрия, за да идентифицират потенциална експлоатация чрез CVE-2023-23397.“

Разкритието идва в момент, когато Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) публикува нов инструмент с отворен код за реагиране на инциденти, който помага за откриване на признаци на злонамерена дейност в облачните среди на Microsoft.

Наречена Untitled Goose Tool, базираната на Python помощна програма предлага „нови методи за удостоверяване и събиране на данни“ за анализ на средите Microsoft Azure, Azure Active Directory и Microsoft 365, съобщи агенцията.

По-рано тази година Microsoft също така призова клиентите си да актуализират локалните си Exchange сървъри, както и да предприемат стъпки за укрепване на мрежите си, за да намалят потенциалните заплахи.

Източник: The Hacker News

Подобни публикации

1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
29 май 2023

AceCryptor: Мощно оръжие на киберпрестъпниците

От 2016 г. насам за опаковане на множество щамове на зловреден софт...
Бъдете социални
Още по темата
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
30/05/2023

Идва ли Windows 12?

Голямата актуализация на Windows 11 за...
23/05/2023

Microsoft Edge пуска режим ...

Microsoft удвоява усилията си да привлече...
Последно добавени
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!