Используемую хакерами с апреля 2022 года уязвимость нулевого дня Outlook исправила Microsoft

Используемую хакерами с апреля 2022 года уязвимость нулевого дня Outlook исправила Microsoft. Фото: СС0

Уязвимость в системе безопасности использовалась в атаках с целью взлома сетей правительственных, военных, энергетических и транспортных организаций в период с середины апреля по декабрь 2022 года.

Группа хакеров отправляла вредоносные заметки и задачи Outlook для кражи хэшей NTLM через запросы согласования NTLM, заставляя целевые устройства проходить аутентификацию на контролируемых злоумышленниками ресурсах SMB.

Украденные учетные данные использовались для горизонтального перемещения в сетях жертв и для изменения прав доступа к папкам почтовых ящиков Outlook — тактика, позволяющая осуществлять эксфильтрацию электронной почты для определенных учетных записей.

Корпорация Майкрософт поделилась этой информацией в частном отчете об аналитике угроз, доступном для клиентов с подписками Microsoft 365 Defender, Microsoft Defender для бизнеса или Microsoft Defender для конечных точек, план 2.

Уязвимость получила код CVE-2023-23397. Это критическая уязвимость безопасности Outlook, позволяющая повысить привилегии, которую можно использовать без вмешательства пользователя в атаках низкой сложности.

Злоумышленники могут использовать его, отправляя сообщения с расширенными свойствами MAPI, содержащими пути UNC, на общий ресурс SMB (TCP 445), находящийся под их контролем.

Из сообщения компании:

«Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданное электронное письмо, которое срабатывает автоматически, когда оно извлекается и обрабатывается клиентом Outlook. При подключении к удаленному SMB-серверу от пользователя отправляется сообщение согласования NTLM, которое злоумышленник может затем передать для проверки подлинности в других системах, поддерживающих проверку подлинности NTLM».

CVE-2023-23397 влияет на все поддерживаемые версии Microsoft Outlook для Windows, но не влияет на версии Outlook для Android, iOS или macOS.

Кроме того, поскольку онлайн-службы, такие как Outlook в Интернете и Microsoft 365, не поддерживают проверку подлинности NTLM, они не уязвимы для атак, использующих эту уязвимость ретрансляции NTLM.

В Microsoft рекомендует немедленно исправить CVE-2023-23397, чтобы смягчить эту уязвимость и предотвратить любые входящие атаки.

В компании также рекомендуют добавлять пользователей в группу «Защищенные пользователи» в Active Directory и блокировать исходящий SMB (TCP-порт 445), если исправление невозможно сразу.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• NordVPN делает свой частный туннель Meshnet бесплатным для всех.
• ChatGPT может использоваться для создания зловредов, фишинга, дипфейков, написания ложных отзывов и травли в сети.
• Опасная программа-вымогатель для Windows теперь атакует и сети Linux.