В Microsoft рассказали, как отследить взлом Outlook

В Microsoft рассказали, как отследить взлом Outlook. Фото: СС0

CVE-2023-23397 - уязвимость безопасности повышения привилегий в клиенте Outlook для Windows. Она позволяет злоумышленникам красть хэши NTLM без взаимодействия с пользователем в атаках NTLM-relay.

Хакеры могут использовать её, отправляя сообщения с расширенными свойствами MAPI, содержащими пути UNC к общим ресурсам SMB, контролируемым злоумышленниками.

В отчете Microsoft поделилась несколькими методами, позволяющими определить, были ли учетные данные скомпрометированы с помощью эксплойтов CVE-2023-23397, а также мерами по смягчению последствий для защиты от будущих атак.

Хотя компания также выпустила скрипт, помогающий администраторам проверять, не стали ли целью какие-либо пользователи Exchange, команда Microsoft утверждает, что специалисты по безопасности должны искать другие признаки эксплуатации, если злоумышленники очистили свои следы, удалив любые компрометирующие сообщения.

Альтернативные источники индикаторов компрометации, связанные с этой уязвимостью Outlook, включают данные телеметрии, извлеченные из нескольких каналов. В их числе как журналы брандмауэра, прокси-сервера, VPN и шлюза RDP, а также журналы входа в Azure Active Directory для пользователей Exchange Online и журналы IIS для Exchange. Сервер.

Другими местами, где группы безопасности должны проверять наличие признаков компрометации, являются криминалистические данные конечных точек, такие как журналы событий Windows и телеметрия конечных точек из решений обнаружения и реагирования на конечные точки (EDR) (если они доступны).

В скомпрометированных средах индикаторы после эксплуатации связаны с нацеливанием на пользователей Exchange EWS/OWA и изменениями разрешений для папок вредоносных почтовых ящиков, что позволяет злоумышленникам получать постоянный доступ к электронным письмам жертв.

Microsoft также поделилась руководством о том, как блокировать будущие атаки, нацеленные на эту уязвимость, и призвала организации установить недавно выпущенное обновление безопасности Outlook.

Из сообщения компании:

«Чтобы устранить эту уязвимость, вы должны установить обновление безопасности Outlook, независимо от того, где размещена ваша почта (например, Exchange Online, Exchange Server, какая-либо другая платформа) или от поддержки вашей организацией проверки подлинности NTLM».

Другие меры, которые подверженные риску организации могут предпринять для смягчения таких атак и поведения после эксплуатации, включают:

В организациях, использующих локальный Microsoft Exchange Server, необходимо установить последние обновления для системы безопасности , чтобы активировать средства защиты.

При обнаружении подозрительных или злонамеренных сообщений нужно обязательно использовать сценарий для удаления либо сообщений, либо только свойств, и рассмотреть возможность инициирования действий по реагированию на инциденты.

Для любого целевого или скомпрометированного пользователя важно сбросить пароли любой учетной записи, вошедшей в систему на компьютерах, о которых пользователь получил подозрительные напоминания, и инициировать действия по реагированию на инцидент.

Для этого необходимо:

• Отключить ненужные службы на Exchange.
• Ограничить трафик SMB, заблокировав подключения к портам 135 и 445 со всех входящих IP-адресов, кроме тех, которые находятся в контролируемом белом списке.
• Отключить NTLM в вашей среде.

В компании также призывают использовать многофакторную аутентификацию, чтобы смягчить воздействие потенциальных атак Net-NTLMv2 Relay. 

CVE-2023-23397 активно эксплуатируется как минимум с апреля 2022 года и использовалась для взлома сетей как минимум 15 правительственных, военных, энергетических и транспортных организаций в Европе.

Из сообщения компании:

«Хотя использование хэшей NTLMv2 для получения несанкционированного доступа к ресурсам не является новым методом, эксплуатация CVE-2023-23397 является новой и незаметной. Даже когда пользователи сообщали о подозрительных напоминаниях о задачах, первоначальная проверка безопасности сообщений, задач или элементов календаря не приводила к обнаружению вредоносной активности. Кроме того, отсутствие какого-либо необходимого взаимодействия с пользователем способствует уникальному характеру этой уязвимости».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Хакеры используют расширения Chrome для кражи электронной почты Gmail. 
• Microsoft представляет новый тест облачной безопасности.
• База взломанных паролей Authlogics достигла 5 миллиардов записей.