Microsoft ha recentemente rilasciato linee guida per aiutare i clienti a scoprire gli indicatori di compromissione (IoC) associato con la patch di recente, grave vulnerabilità di Outlook nota come CVE-2023-23397.
Cos'è CVE-2023-23397?
Come spiegato da Microsoft nel loro advisory, CVE-2023-23397 è un'elevazione critica della vulnerabilità dei privilegi esistente in Microsoft Outlook su Windows quando un autore di minacce invia un messaggio appositamente predisposto a un utente. Questo messaggio contiene un'interfaccia di programmazione dell'applicazione di messaggistica estesa PidLidReminderFileParameter (MAPI) proprietà impostata su una Universal Naming Convention (UNC) condivisione del percorso su un server controllato dagli attori delle minacce (tramite il blocco dei messaggi del server (SMB)/protocollo di controllo della trasmissione (TCP) porto 445).
Questo difetto critico, che porta il potenziale di escalation dei privilegi, potrebbe essere sfruttato da aggressori esterni per inviare e-mail appositamente predisposte che consentirebbero loro di rubare NT Lan Manager (NTLM) hash e inscenare un attacco di inoltro senza la necessità di alcuna interazione da parte dell'utente. Secondo l'advisory di Microsoft, ciò comporterebbe la divulgazione dell'hash Net-NTLMv2 della vittima alla rete non attendibile, che l'aggressore può quindi inoltrare a un altro servizio e autenticarsi come vittima.
Come viene sfruttato CVE-2023-23397?
In aprile 2022, Il team di risposta agli incidenti di Microsoft ha scoperto prove che gli attori delle minacce con sede in Russia stavano tentando di sfruttare una vulnerabilità nel loro sistema. Come risultato di questo, il gigante della tecnologia ha lanciato gli aggiornamenti come parte del loro Patch Tuesday di marzo 2023 per risolvere il problema. Sfortunatamente, gli attori della minaccia avevano già utilizzato come arma il difetto e l'hanno usato per prendere di mira il governo, mezzi di trasporto, energia, e settori militari in Europa. In una catena di attacco, è stato utilizzato un attacco di inoltro Net-NTLMv2 riuscito per ottenere l'accesso non autorizzato a un Exchange Server e modificare i permessi della cartella della cassetta postale, concessione di un accesso permanente.
Quali sono gli indicatori di compromesso di CVE-2023-23397?
Le organizzazioni dovrebbero analizzare i log degli eventi di SMBClient, Eventi di creazione del processo, e qualsiasi altra telemetria di rete disponibile per determinare se CVE-2023-23397 è stato sfruttato. Delineare se l'accesso non autorizzato è stato ottenuto da un autore di minacce, eventi di autenticazione, registrazione del perimetro di rete, e la registrazione di Exchange Server (se applicabile) deve essere esaminato, Microsoft ha detto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: