- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 2ч 13м
- Сделки
- 251
- Нарушения
- 0 / 0
Как сообщается, к атакам причастна группа хакеров, якобы связанная с российскими спецслужбами. Специалисты отслеживают группировку под разными названиями: APT28, STRONTIUM, Sednit, Sofacy или Fancy Bear. Согласно имеющейся информации, данные хакеры отправляли вредоносные заметки и задачи Outlook для кражи хэшей через запросы согласования NTLM, заставляя целевые устройства проходить аутентификацию на контролируемых злоумышленниками SMB-ресурсах.
Украденные учётные данные использовались для горизонтального перемещения в сетях жертв и для изменения прав доступа к папкам почтовых ящиков Outlook. Эта тактика позволила осуществить эксфильтрацию электронной почты из учётных записей определённых сотрудников, работавших в критически важных отраслях.
CVE-2023-23397 влияет на все поддерживаемые версии Microsoft Outlook для Windows, но не влияет на версии для Android, iOS или macOS. Кроме того, поскольку онлайн-службы, такие как веб-сайт Outlook или Microsoft 365, не поддерживают проверку подлинности NTLM, они неуязвимы для данных атак.«Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданное электронное письмо, которое срабатывает автоматически, когда оно извлекается и обрабатывается клиентом Outlook. При подключении к удаленному SMB-серверу от пользователя отправляется сообщение согласования NTLM, которое злоумышленник может затем передать для проверки подлинности в других системах, поддерживающих проверку подлинности NTLM», — объясняет Microsoft в небольшом отчёте об уязвимости.
Microsoft призывает клиентов немедленно применить выпущенное исправление уязвимости или добавить пользователей в группу «Защищенные пользователи» в Active Directory и заблокировать исходящий SMB (TCP-порт 445) в качестве временной меры для минимизации воздействия атак.
Редмонд также выпустил специальный скрипт PowerShell, чтобы помочь администраторам проверить, не были ли какие-либо пользователи в их среде Exchange атакованы этой уязвимостью Outlook. «При необходимости администраторы могут использовать этот скрипт для очистки свойства от вредоносных элементов или даже для безвозвратного удаления элементов», — заявляет Microsoft. Скрипт также позволяет изменять или удалять потенциально вредоносные сообщения, если они обнаружены на проверенном сервере Exchange при запуске в режиме очистки.