Microsoft hat kürzlich einen Leitfaden veröffentlicht, der Kunden dabei helfen soll, Indikatoren für Kompromittierungen zu erkennen (IoCs) im Zusammenhang mit den kürzlich gepatchten, schwere Outlook-Schwachstelle bekannt als CVE-2023-23397.
Was ist CVE-2023-23397?
Wie von Microsoft in ihrem Advisory erklärt, CVE-2023-23397 ist eine kritische Sicherheitslücke bezüglich der Erhöhung von Berechtigungen, die in vorhanden ist Microsoft Outlook unter Windows, wenn ein Bedrohungsakteur eine speziell gestaltete Nachricht an einen Benutzer übermittelt. Diese Nachricht enthält eine PidLidReminderFileParameter Extended Messaging Application Programming Interface (MAPI) -Eigenschaft auf eine universelle Namenskonvention festgelegt (UNC) Pfadfreigabe auf einem von Bedrohungsakteuren kontrollierten Server (über Server-Meldeblock (SMB)/Übertragungskontrollprotokoll (TCP) Port 445).
Dieser kritische Fehler, die das Potenzial einer Privilegieneskalation in sich birgt, könnten von externen Angreifern ausgenutzt werden, um speziell gestaltete E-Mails zu senden, die es ihnen ermöglichen würden, NT Lan Manager zu stehlen (NTLM) Hashes und inszenieren einen Relay-Angriff, ohne dass eine Benutzerinteraktion erforderlich ist. Laut Microsoft beratenden, Dies würde dazu führen, dass der Net-NTLMv2-Hash des Opfers in das nicht vertrauenswürdige Netzwerk gelangt, die der Angreifer dann an einen anderen Dienst weiterleiten und sich als Opfer authentifizieren kann.
Wie wird CVE-2023-23397 ausgenutzt??
Im April 2022, Das Incident Response Team von Microsoft entdeckte Beweise dafür, dass in Russland ansässige Bedrohungsakteure versuchten, eine Schwachstelle in ihrem System auszunutzen. Als Folge davon, Der Technologieriese hat Updates im Rahmen seines Patchdays im März eingeführt 2023 um das Problem zu lösen. Leider, Die Bedrohungsakteure hatten den Fehler bereits bewaffnet und benutzten ihn, um die Regierung anzugreifen, Transport, Energie, und militärischen Sektoren in Europa. In einer Angriffskette, Ein erfolgreicher Net-NTLMv2-Relay-Angriff wurde verwendet, um unbefugten Zugriff auf eine zu erhalten Austausch server und Berechtigungen für Postfachordner ändern, dauerhaften Zugriff gewähren.
Was sind die Kompromittierungsindikatoren von CVE-2023-23397??
Organisationen sollten SMBClient-Ereignisprotokolle analysieren, Prozesserstellungsereignisse, und jede andere verfügbare Netzwerktelemetrie, um festzustellen, ob CVE-2023-23397 ausgenutzt wurde. Um zu skizzieren, ob ein Bedrohungsakteur unbefugten Zugriff erlangt hat, Authentifizierungsereignisse, Protokollierung des Netzwerkperimeters, und Exchange Server-Protokollierung (wenn anwendbar) müssen geprüft werden, Microsoft sagte,.