В Microsoft рассказали, как отследить взлом Outlook
В Microsoft рассказали, как отследить взлом Outlook. Фото: СС0
CVE-2023-23397 - уязвимость безопасности повышения привилегий в клиенте Outlook для Windows. Она позволяет злоумышленникам красть хэши NTLM без взаимодействия с пользователем в атаках NTLM-relay.
Хакеры могут использовать её, отправляя сообщения с расширенными свойствами MAPI, содержащими пути UNC к общим ресурсам SMB, контролируемым злоумышленниками.
В отчете Microsoft поделилась несколькими методами, позволяющими определить, были ли учетные данные скомпрометированы с помощью эксплойтов CVE-2023-23397, а также мерами по смягчению последствий для защиты от будущих атак.
Хотя компания также выпустила скрипт, помогающий администраторам проверять, не стали ли целью какие-либо пользователи Exchange, команда Microsoft утверждает, что специалисты по безопасности должны искать другие признаки эксплуатации, если злоумышленники очистили свои следы, удалив любые компрометирующие сообщения.
Альтернативные источники индикаторов компрометации, связанные с этой уязвимостью Outlook, включают данные телеметрии, извлеченные из нескольких каналов. В их числе как журналы брандмауэра, прокси-сервера, VPN и шлюза RDP, а также журналы входа в Azure Active Directory для пользователей Exchange Online и журналы IIS для Exchange. Сервер.
Другими местами, где группы безопасности должны проверять наличие признаков компрометации, являются криминалистические данные конечных точек, такие как журналы событий Windows и телеметрия конечных точек из решений обнаружения и реагирования на конечные точки (EDR) (если они доступны).
В скомпрометированных средах индикаторы после эксплуатации связаны с нацеливанием на пользователей Exchange EWS/OWA и изменениями разрешений для папок вредоносных почтовых ящиков, что позволяет злоумышленникам получать постоянный доступ к электронным письмам жертв.
Microsoft также поделилась руководством о том, как блокировать будущие атаки, нацеленные на эту уязвимость, и призвала организации установить недавно выпущенное обновление безопасности Outlook.
Из сообщения компании:
«Чтобы устранить эту уязвимость, вы должны установить обновление безопасности Outlook, независимо от того, где размещена ваша почта (например, Exchange Online, Exchange Server, какая-либо другая платформа) или от поддержки вашей организацией проверки подлинности NTLM».
Другие меры, которые подверженные риску организации могут предпринять для смягчения таких атак и поведения после эксплуатации, включают:
В организациях, использующих локальный Microsoft Exchange Server, необходимо установить последние обновления для системы безопасности , чтобы активировать средства защиты.
При обнаружении подозрительных или злонамеренных сообщений нужно обязательно использовать сценарий для удаления либо сообщений, либо только свойств, и рассмотреть возможность инициирования действий по реагированию на инциденты.
Для любого целевого или скомпрометированного пользователя важно сбросить пароли любой учетной записи, вошедшей в систему на компьютерах, о которых пользователь получил подозрительные напоминания, и инициировать действия по реагированию на инцидент.
Для этого необходимо:
- Отключить ненужные службы на Exchange.
- Ограничить трафик SMB, заблокировав подключения к портам 135 и 445 со всех входящих IP-адресов, кроме тех, которые находятся в контролируемом белом списке.
- Отключить NTLM в вашей среде.
В компании также призывают использовать многофакторную аутентификацию, чтобы смягчить воздействие потенциальных атак Net-NTLMv2 Relay.
CVE-2023-23397 активно эксплуатируется как минимум с апреля 2022 года и использовалась для взлома сетей как минимум 15 правительственных, военных, энергетических и транспортных организаций в Европе.
Из сообщения компании:
«Хотя использование хэшей NTLMv2 для получения несанкционированного доступа к ресурсам не является новым методом, эксплуатация CVE-2023-23397 является новой и незаметной. Даже когда пользователи сообщали о подозрительных напоминаниях о задачах, первоначальная проверка безопасности сообщений, задач или элементов календаря не приводила к обнаружению вредоносной активности. Кроме того, отсутствие какого-либо необходимого взаимодействия с пользователем способствует уникальному характеру этой уязвимости».
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было