Microsoft a récemment publié des conseils pour aider les clients à découvrir les indicateurs de compromission (IoC) associé au patch récemment, vulnérabilité Outlook grave connue sous le nom de CVE-2023-23397.
Qu'est-ce que CVE-2023-23397?
Comme expliqué par Microsoft dans son avis, CVE-2023-23397 est une vulnérabilité critique d'élévation des privilèges qui existe dans Microsoft Outlook sous Windows lorsqu'un auteur de menace envoie un message spécialement conçu à un utilisateur. Ce message contient une interface de programmation d'application de messagerie étendue PidLidReminderFileParameter (MAPI) propriété définie sur une convention de dénomination universelle (UNC) partage de chemin sur un serveur contrôlé par un auteur de menace (via le bloc de messages du serveur (SMB)/protocole de contrôle de transmission (TCP) port 445).
Ce défaut critique, qui porte le potentiel d'escalade de privilèges, pourrait être exploité par des attaquants externes pour envoyer des e-mails spécialement conçus qui leur permettraient de voler NT Lan Manager (NTLM) hachages et organiser une attaque relais sans avoir besoin d'aucune interaction de l'utilisateur. Selon le conseil de Microsoft, cela entraînerait la fuite du hachage Net-NTLMv2 de la victime vers le réseau non approuvé, que l'attaquant peut ensuite relayer vers un autre service et s'authentifier en tant que victime.
Comment CVE-2023-23397 est-il exploité?
En avril 2022, L'équipe de réponse aux incidents de Microsoft a découvert des preuves que des acteurs de la menace basés en Russie tentaient d'exploiter une vulnérabilité de leur système. A la suite de cette, le géant de la technologie a déployé des mises à jour dans le cadre de son Patch Tuesday en mars 2023 pour résoudre le problème. Malheureusement, les acteurs de la menace avaient déjà militarisé la faille et l'avaient utilisée pour cibler le gouvernement, transport, énergie, et militaires en Europe. Dans une chaîne d'attaque, une attaque de relais Net-NTLMv2 réussie a été utilisée pour obtenir un accès non autorisé à un Serveur d'échange et modifier les autorisations de dossier de boîte aux lettres, octroi d'un accès persistant.
Quels sont les indicateurs de compromission de CVE-2023-23397?
Les organisations doivent analyser les journaux d'événements SMBClient, Événements de création de processus, et toute autre télémétrie réseau disponible pour déterminer si CVE-2023-23397 a été exploité. Indiquer si un accès non autorisé a été obtenu par un acteur malveillant, événements d'authentification, journalisation du périmètre du réseau, et journalisation Exchange Server (le cas échéant) doit être examiné, Microsoft a déclaré.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: