Microsoft は最近、お客様が侵害の兆候を発見するのに役立つガイダンスをリリースしました (IoC) 最近パッチが適用された, CVE-2023-23397 として知られる重大な Outlook の脆弱性.
CVE-2023-23397 とは?
マイクロソフトがアドバイザリで説明しているように, CVE-2023-23397 は、に存在する重大な権限昇格の脆弱性です。 Microsoft Outlook Windows で、攻撃者が特別に細工したメッセージをユーザーに配信した場合. このメッセージには、PidLidReminderFileParameter 拡張メッセージング アプリケーション プログラミング インターフェイスが含まれています (MAPI) 汎用命名規則に設定されたプロパティ (UNC) 脅威アクターが制御するサーバー上のパス共有 (サーバーメッセージブロック経由 (SMB)/伝送制御プロトコル (TCP) ポート 445).
この重大な欠陥, 権限昇格の可能性がある, 外部の攻撃者が悪用して、特別に細工した電子メールを送信し、NT Lan Manager を盗む可能性があります。 (NTLM) ユーザーの操作を必要とせずにリレー攻撃をハッシュしてステージングします. Microsoftの勧告によると, これにより、被害者の Net-NTLMv2 ハッシュが信頼されていないネットワークに漏洩する可能性があります。, 攻撃者はこれを別のサービスに中継し、被害者として認証できます.
CVE-2023-23397 の悪用方法?
4月に 2022, Microsoft のインシデント対応チームは、ロシアを拠点とする攻撃者がシステムの脆弱性を悪用しようとしている証拠を発見しました。. 結果的に, テクノロジーの巨人は、3月のパッチ火曜日の一部としてアップデートを展開しました 2023 問題を解決するには. 不運にも, 脅威アクターはすでに欠陥を兵器化し、それを使用して政府を標的にしていました, 交通手段, エネルギー, ヨーロッパの軍事部門. 1 つの攻撃チェーンで, 成功した Net-NTLMv2 リレー攻撃は、サーバーへの不正アクセスを取得するために使用されました。 Exchange Server メールボックス フォルダのアクセス許可を変更する, 永続アクセスの付与.
CVE-2023-23397 の侵害の兆候とは?
組織は SMBClient イベント ログを分析する必要があります, プロセス作成イベント, CVE-2023-23397 が悪用されたかどうかを判断するためのその他の利用可能なネットワーク テレメトリ. 脅威アクターによって不正アクセスが取得されたかどうかを概説する, 認証イベント, ネットワーク境界ロギング, および Exchange Server のログ (該当する場合) 調べなければならない, マイクロソフトは言った.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: