В петък Microsoft сподели насоки, с които да помогне на клиентите да открият индикатори за компрометиране (IoC), свързани с наскоро поправена уязвимост в Outlook.

Проследен като CVE-2023-23397 (CVSS оценка: 9,8), критичният недостатък се отнася до случай на повишаване на привилегиите, който може да бъде използван за кражба на хешове на NT Lan Manager (NTLM) и организиране на релейна атака, без да е необходимо никакво взаимодействие с потребителя.

„Външните нападатели могат да изпратят специално създадени имейли, които да предизвикат връзка от жертвата към ненадеждно място, контролирано от нападателите“, отбеляза компанията в консултация, публикувана този месец.

„Това ще доведе до изтичане на Net-NTLMv2 хеша на жертвата към ненадеждната мрежа, който атакуващият може след това да препрати към друга услуга и да се удостовери като жертвата.“

Уязвимостта беше отстранена от Microsoft като част от актуализациите Patch Tuesday за март 2023 г., но не и преди базирани в Русия хакерски групировки да използват дефекта в атаки, насочени към правителствени, транспортни, енергийни и военни сектори в Европа.

Екипът за реакция при инциденти на Microsoft заяви, че е открил доказателства за потенциална експлоатация на недостатъка още през април 2022 г.

В една от веригите за атаки, описани от технологичния гигант, успешната атака Net-NTLMv2 Relay е позволила на извършителя да получи неоторизиран достъп до сървър на Exchange и да модифицира разрешенията за папки на пощенски кутии за постоянен достъп.

След това компрометираният имейл акаунт е използван за разширяване на достъпа на противника в компрометираната среда чрез изпращане на допълнителни злонамерени съобщения, насочени към други членове на същата организация.

„Въпреки че използването на NTLMv2 хешове за получаване на неоторизиран достъп до ресурси не е нова техника, използването на CVE-2023-23397 е ново и скрито“, заявиха от Microsoft.

„Организациите трябва да прегледат регистрирането на събитията на SMBClient, събитията за създаване на процеси и друга налична мрежова телеметрия, за да идентифицират потенциална експлоатация чрез CVE-2023-23397.“

Разкритието идва в момент, когато Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) публикува нов инструмент с отворен код за реагиране на инциденти, който помага за откриване на признаци на злонамерена дейност в облачните среди на Microsoft.

Наречена Untitled Goose Tool, базираната на Python помощна програма предлага „нови методи за удостоверяване и събиране на данни“ за анализ на средите Microsoft Azure, Azure Active Directory и Microsoft 365, съобщи агенцията.

По-рано тази година Microsoft също така призова клиентите си да актуализират локалните си Exchange сървъри, както и да предприемат стъпки за укрепване на мрежите си, за да намалят потенциалните заплахи.