Microsoft compartilha dicas para detectar a exploração de zero-day no Outlook
27 de Março de 2023

A Microsoft publicou hoje um guia detalhado com o objetivo de ajudar os clientes a descobrir sinais de comprometimento por meio da exploração de uma vulnerabilidade zero-day recentemente corrigida do Outlook.

Rastreada como CVE-2023-23397 , essa falha de segurança de escalonamento de privilégios no cliente Outlook para Windows permite que os atacantes roubem hashes NTLM sem interação do usuário em ataques NTLM-relay zero-click.

Os atores de ameaças podem explorá-la enviando mensagens com propriedades MAPI estendidas contendo caminhos UNC para compartilhamentos SMB controlados pelo atacante.

No relatório de hoje, a Microsoft compartilhou múltiplas técnicas para descobrir se as credenciais foram comprometidas por meio de explorações do CVE-2023-23397 , bem como medidas de mitigação para se defender contra ataques futuros.

Embora a empresa também tenha lançado um script para ajudar os administradores a verificar se algum usuário do Exchange foi alvo, a Microsoft disse que os defensores devem procurar outros sinais de exploração se os atores de ameaças limparam suas pistas excluindo mensagens incriminadoras.

Outras fontes alternativas de indicadores de comprometimento relacionados a essa falha do Outlook incluem telemetria extraída de várias fontes, como logs de firewall, proxy, VPN e RDP Gateway, bem como logs de entrada no Azure Active Directory para usuários do Exchange Online e logs do IIS para o Exchange Server.

Outros lugares que as equipes de segurança devem verificar em busca de sinais de comprometimento são dados de pontos de extremidade forenses, como logs de eventos do Windows e telemetria de detecção e resposta de pontos de extremidade (EDR) (se disponível).

Em ambientes comprometidos, os indicadores de pós-exploração estão relacionados ao direcionamento de usuários do Exchange EWS/OWA e mudanças maliciosas nas permissões de pastas de caixa de correio permitindo que os atacantes obtenham acesso persistente aos e-mails das vítimas.

A Microsoft também compartilhou orientações sobre como bloquear ataques futuros direcionados a essa vulnerabilidade, pedindo às organizações que instalem a atualização de segurança do Outlook recentemente lançada.

"Para abordar essa vulnerabilidade, você deve instalar a atualização de segurança do Outlook, independentemente de onde seu e-mail esteja hospedado (por exemplo, Exchange Online, Exchange Server, alguma outra plataforma) ou do suporte da sua organização à autenticação NTLM", disse a equipe de resposta a incidentes da Microsoft.

Outras medidas que as organizações em risco podem tomar para mitigar tais ataques e comportamentos pós-exploração incluem: CVE-2023-23397 está em exploração ativa desde pelo menos abril de 2022 e foi usado para invadir as redes de pelo menos 15 organizações governamentais, militares, de energia e transporte na Europa.

Embora a Microsoft tenha publicamente vinculado esses ataques a "um ator de ameaça com base na Rússia", a Redmond também disse em um relatório privado de análise de ameaças visto pelo BleepingComputer que acredita que o grupo de hackers é o APT28 (também rastreado como STRONTIUM, Sednit, Sofacy e Fancy Bear).

Esse ator de ameaça foi anteriormente relacionado à Diretoria Principal do Estado-Maior das Forças Armadas da Federação Russa (GRU), o serviço de inteligência militar da Rússia.

As credenciais roubadas nesses ataques foram usadas para movimentação lateral e para alterar as permissões de pastas de caixa de correio do Outlook, uma tática que lhes permitiu extrair e-mails de contas específicas.

"Embora a alavancagem de hashes NTLMv2 para obter acesso não autorizado a recursos não seja uma nova técnica, a exploração do CVE-2023-23397 é nova e furtiva", acrescentou a equipe de resposta a incidentes da Microsoft.

"Mesmo quando os usuários relataram lembretes suspeitos em tarefas, a revisão de segurança inicial das mensagens, tarefas ou itens de calendário envolvidos não resultou na detecção da atividade maliciosa.

Além disso, a falta de qualquer interação do usuário necessária contribui para a natureza única dessa vulnerabilidade."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...