Microsoft исправила уязвимость нулевого дня в Outlook под идентификатором CVE-2023-23397 . Как сообщается, уязвимость использовалась в атаках с целью взлома сетей около 15 правительственных, военных, энергетических и транспортных организаций в период с середины апреля по декабрь 2022 года.
Группа хакеров, отслеживаемая как APT28, STRONTIUM, Sednit, Sofacy или Fancy Bear, отправляла вредоносные заметки и задачи Outlook для кражи хэшей через запросы согласования NTLM, заставляя целевые устройства проходить аутентификацию на контролируемых злоумышленниками SMB-ресурсах.
Украденные учётные данные использовались для горизонтального перемещения в сетях жертв и для изменения прав доступа к папкам почтовых ящиков Outlook. Эта тактика позволила осуществить эксфильтрацию электронной почты из учётных записей определённых сотрудников, работавших в критически важных отраслях.
“Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданное электронное письмо, которое срабатывает автоматически, когда оно извлекается и обрабатывается клиентом Outlook. При подключении к удаленному SMB-серверу от пользователя отправляется сообщение согласования NTLM, которое злоумышленник может затем передать для проверки подлинности в других системах, поддерживающих проверку подлинности NTLM”, – объясняет Microsoft в небольшом отчёте об уязвимости.
CVE-2023-23397 влияет на все поддерживаемые версии Microsoft Outlook для Windows, но не влияет на версии для Android, iOS или macOS. Кроме того, поскольку онлайн-службы, такие как веб-сайт Outlook или Microsoft 365, не поддерживают проверку подлинности NTLM, они неуязвимы для данных атак.
Microsoft призывает клиентов немедленно применить выпущенное исправление уязвимости или добавить пользователей в группу “Защищенные пользователи” в Active Directory и заблокировать исходящий SMB (TCP-порт 445) в качестве временной меры для минимизации воздействия атак.
Редмонд также выпустил специальный скрипт PowerShell , чтобы помочь администраторам проверить, не были ли какие-либо пользователи в их среде Exchange атакованы этой уязвимостью Outlook. “При необходимости администраторы могут использовать этот скрипт для очистки свойства от вредоносных элементов или даже для безвозвратного удаления элементов”, – заявляет Microsoft. Скрипт также позволяет изменять или удалять потенциально вредоносные сообщения, если они обнаружены на проверенном сервере Exchange при запуске в режиме очистки.