A Microsoft lançou recentemente orientações para ajudar os clientes a descobrir indicadores de comprometimento (IoCs) associado ao recentemente corrigido, vulnerabilidade grave do Outlook conhecida como CVE-2023-23397.
O que é CVE-2023-23397?
Conforme explicado pela Microsoft em seu comunicado, CVE-2023-23397 é uma vulnerabilidade crítica de elevação de privilégio que existe em Microsoft Outlook no Windows quando um agente de ameaça entrega uma mensagem especialmente criada a um usuário. Esta mensagem contém um PidLidReminderFileParameter Extended Messaging Application Programming Interface (MAPI) propriedade definida para uma convenção de nomenclatura universal (UNC) compartilhamento de caminho em um servidor controlado por agente de ameaça (via bloco de mensagem do servidor (SMB)/protocolo de Controle de Transmissão (TCP) porta 445).
Esta falha crítica, que carrega o potencial de escalonamento de privilégios, pode ser explorado por invasores externos para enviar e-mails especialmente criados que permitiriam que eles roubassem o NT Lan Manager (NTLM) hashes e encenar um ataque de retransmissão sem a necessidade de qualquer interação do usuário. De acordo com o conselho da Microsoft, isso resultaria no vazamento do hash Net-NTLMv2 da vítima para a rede não confiável, que o invasor pode retransmitir para outro serviço e autenticar como a vítima.
Como o CVE-2023-23397 é explorado?
Em abril 2022, A equipe de resposta a incidentes da Microsoft descobriu evidências de que agentes de ameaças baseados na Rússia estavam tentando explorar uma vulnerabilidade em seu sistema. Como resultado disso, a gigante da tecnologia lançou atualizações como parte de seu Patch Tuesday em março 2023 para resolver o problema. Infelizmente, os atores da ameaça já haviam armado a falha e a usado para atingir o governo, transporte, energia, e setores militares na Europa. Em uma cadeia de ataque, um ataque Net-NTLMv2 Relay bem-sucedido foi usado para obter acesso não autorizado a um Exchange Server e modifique as permissões da pasta da caixa de correio, concedendo acesso persistente.
Quais são os indicadores de comprometimento do CVE-2023-23397?
As organizações devem analisar os logs de eventos do SMBClient, Eventos de criação de processo, e qualquer outra telemetria de rede disponível para determinar se o CVE-2023-23397 foi explorado. Descrever se algum acesso não autorizado foi obtido por um ator de ameaça, eventos de autenticação, registro de perímetro de rede, e log do Exchange Server (se aplicável) deve ser examinado, Microsoft disse.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: