A Microsoft publicou hoje um guia detalhado com o objetivo de ajudar os clientes a descobrir sinais de comprometimento por meio da exploração de uma vulnerabilidade zero-day recentemente corrigida do Outlook.
Rastreada como
CVE-2023-23397
, essa falha de segurança de escalonamento de privilégios no cliente Outlook para Windows permite que os atacantes roubem hashes NTLM sem interação do usuário em ataques NTLM-relay zero-click.
Os atores de ameaças podem explorá-la enviando mensagens com propriedades MAPI estendidas contendo caminhos UNC para compartilhamentos SMB controlados pelo atacante.
No relatório de hoje, a Microsoft compartilhou múltiplas técnicas para descobrir se as credenciais foram comprometidas por meio de explorações do
CVE-2023-23397
, bem como medidas de mitigação para se defender contra ataques futuros.
Embora a empresa também tenha lançado um script para ajudar os administradores a verificar se algum usuário do Exchange foi alvo, a Microsoft disse que os defensores devem procurar outros sinais de exploração se os atores de ameaças limparam suas pistas excluindo mensagens incriminadoras.
Outras fontes alternativas de indicadores de comprometimento relacionados a essa falha do Outlook incluem telemetria extraída de várias fontes, como logs de firewall, proxy, VPN e RDP Gateway, bem como logs de entrada no Azure Active Directory para usuários do Exchange Online e logs do IIS para o Exchange Server.
Outros lugares que as equipes de segurança devem verificar em busca de sinais de comprometimento são dados de pontos de extremidade forenses, como logs de eventos do Windows e telemetria de detecção e resposta de pontos de extremidade (EDR) (se disponível).
Em ambientes comprometidos, os indicadores de pós-exploração estão relacionados ao direcionamento de usuários do Exchange EWS/OWA e mudanças maliciosas nas permissões de pastas de caixa de correio permitindo que os atacantes obtenham acesso persistente aos e-mails das vítimas.
A Microsoft também compartilhou orientações sobre como bloquear ataques futuros direcionados a essa vulnerabilidade, pedindo às organizações que instalem a atualização de segurança do Outlook recentemente lançada.
"Para abordar essa vulnerabilidade, você deve instalar a atualização de segurança do Outlook, independentemente de onde seu e-mail esteja hospedado (por exemplo, Exchange Online, Exchange Server, alguma outra plataforma) ou do suporte da sua organização à autenticação NTLM", disse a equipe de resposta a incidentes da Microsoft.
Outras medidas que as organizações em risco podem tomar para mitigar tais ataques e comportamentos pós-exploração incluem:
CVE-2023-23397
está em exploração ativa desde pelo menos abril de 2022 e foi usado para invadir as redes de pelo menos 15 organizações governamentais, militares, de energia e transporte na Europa.
Embora a Microsoft tenha publicamente vinculado esses ataques a "um ator de ameaça com base na Rússia", a Redmond também disse em um relatório privado de análise de ameaças visto pelo BleepingComputer que acredita que o grupo de hackers é o APT28 (também rastreado como STRONTIUM, Sednit, Sofacy e Fancy Bear).
Esse ator de ameaça foi anteriormente relacionado à Diretoria Principal do Estado-Maior das Forças Armadas da Federação Russa (GRU), o serviço de inteligência militar da Rússia.
As credenciais roubadas nesses ataques foram usadas para movimentação lateral e para alterar as permissões de pastas de caixa de correio do Outlook, uma tática que lhes permitiu extrair e-mails de contas específicas.
"Embora a alavancagem de hashes NTLMv2 para obter acesso não autorizado a recursos não seja uma nova técnica, a exploração do
CVE-2023-23397
é nova e furtiva", acrescentou a equipe de resposta a incidentes da Microsoft.
"Mesmo quando os usuários relataram lembretes suspeitos em tarefas, a revisão de segurança inicial das mensagens, tarefas ou itens de calendário envolvidos não resultou na detecção da atividade maliciosa.
Além disso, a falta de qualquer interação do usuário necessária contribui para a natureza única dessa vulnerabilidade."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...