Microsoft har for nylig udgivet vejledning til at hjælpe kunder med at opdage indikatorer på kompromis (IoC'er) forbundet med den nyligt rettet, alvorlig Outlook-sårbarhed kendt som CVE-2023-23397.
Hvad er CVE-2023-23397?
Som forklaret af Microsoft i deres rådgivning, CVE-2023-23397 er en kritisk udvidelse af rettigheder sårbarhed, der findes i Microsoft Outlook på Windows, når en trusselsaktør leverer en specielt udformet besked til en bruger. Denne meddelelse indeholder en PidLidReminderFileParameter udvidet Messaging Application Programming Interface (MAPI) egenskab sat til en universel navnekonvention (UNC) stideling på en trusselsaktør-kontrolleret server (via servermeddelelsesblok (SMB)/transmissionskontrolprotokol (TCP) havn 445).
Denne kritiske fejl, som rummer potentialet for eskalering af privilegier, kunne udnyttes af eksterne angribere til at sende specialfremstillede e-mails, der ville give dem mulighed for at stjæle NT Lan Manager (NTLM) hashes og iscenesætte et relæangreb uden behov for brugerinteraktion. Ifølge Microsofts rådgivende, dette vil resultere i, at offerets Net-NTLMv2-hash bliver lækket til det ikke-pålidelige netværk, som angriberen derefter kan videresende til en anden tjeneste og autentificere som offer.
Hvordan udnyttes CVE-2023-23397?
Den april 2022, Microsofts hændelsesteam opdagede bevis på, at russisk-baserede trusselsaktører forsøgte at udnytte en sårbarhed i deres system. Som et resultat af denne, teknologigiganten udrullede opdateringer som en del af deres Patch Tuesday i marts 2023 for at løse problemet. Desværre, trusselsaktørerne havde allerede bevæbnet fejlen og brugt den til at målrette regeringen, transport, energi, og militære sektorer i Europa. I én angrebskæde, et vellykket Net-NTLMv2 Relay-angreb blev brugt til at få uautoriseret adgang til en Exchange Server og ændre postkassemappetilladelser, at give vedvarende adgang.
Hvad er CVE-2023-23397's indikatorer for kompromis?
Organisationer bør analysere SMBClient-hændelseslogfiler, Process Creation begivenheder, og enhver anden tilgængelig netværkstelemetri for at afgøre, om CVE-2023-23397 er blevet udnyttet. At skitsere, om der er opnået uautoriseret adgang af en trusselsaktør, autentificeringsbegivenheder, netværks perimeter logning, og Exchange Server-logning (hvis relevant) skal undersøges, Microsoft sagde.