Microsoft heeft onlangs richtlijnen uitgebracht om klanten te helpen bij het ontdekken van indicatoren van compromissen (IoC's) geassocieerd met de onlangs gepatchte, ernstige Outlook-kwetsbaarheid bekend als CVE-2023-23397.
Wat is CVE-2023-23397?
Zoals uitgelegd door Microsoft in hun advies, CVE-2023-23397 is een kritieke kwetsbaarheid voor misbruik van bevoegdheden die bestaat in Microsoft Outlook op Windows wanneer een bedreigingsactor een speciaal vervaardigd bericht aan een gebruiker bezorgt. Dit bericht bevat een PidLidReminderFileParameter uitgebreide Messaging Application Programming Interface (MAPI) eigenschap ingesteld op een Universal Naming Convention (UNC) pad delen op een door een bedreigingsactor gecontroleerde server (via serverberichtenblok (SMB)/transmissiecontroleprotocol (TCP) port 445).
Deze kritieke fout, wat het potentieel van privilege-escalatie met zich meebrengt, kunnen worden misbruikt door externe aanvallers om speciaal vervaardigde e-mails te verzenden waarmee ze NT Lan Manager kunnen stelen (NTLM) hashes en voer een relay-aanval uit zonder enige tussenkomst van de gebruiker. Volgens Microsoft's adviserende, dit zou ertoe leiden dat de Net-NTLMv2-hash van het slachtoffer wordt gelekt naar het niet-vertrouwde netwerk, die de aanvaller vervolgens kan doorgeven aan een andere service en zich kan authenticeren als het slachtoffer.
Hoe wordt CVE-2023-23397 uitgebuit?
In april 2022, Het incidentresponsteam van Microsoft ontdekte bewijs dat in Rusland gevestigde aanvallers probeerden misbruik te maken van een kwetsbaarheid in hun systeem. Door deze, de techgigant rolde updates uit als onderdeel van hun Patch Tuesday in maart 2023 om het probleem op te lossen. Helaas, de dreigingsactoren hadden de fout al bewapend en gebruikt om de regering aan te vallen, vervoer, energie, en militaire sectoren in Europa. In één aanvalsketen, een geslaagde Net-NTLMv2 Relay-aanval werd gebruikt om ongeoorloofde toegang te krijgen tot een Exchange Server en wijzig machtigingen voor mailboxmappen, blijvende toegang verlenen.
Wat zijn CVE-2023-23397's indicatoren van compromis?
Organisaties moeten SMBClient-gebeurtenislogboeken analyseren, Process Creatie-gebeurtenissen, en alle andere beschikbare netwerktelemetrie om te bepalen of CVE-2023-23397 is misbruikt. Om te schetsen of ongeautoriseerde toegang is verkregen door een bedreigingsactor, authenticatie gebeurtenissen, logboekregistratie van de netwerkperimeter, en Exchange Server-logboekregistratie (indien toepasselijk) moet worden onderzocht, Microsoft zei.