Microsoft corrige vulnerabilidade do Outlook usada por hackers russos desde abril de 2022

15 de Março de 2023

A Microsoft corrigiu uma vulnerabilidade zero-day do Outlook ( CVE-2023-23397 ) explorada por um grupo de hackers ligado ao serviço de inteligência militar GRU da Rússia para atacar organizações europeias.

A vulnerabilidade de segurança foi explorada em ataques contra menos de 15 organizações governamentais, militares, de energia e transporte entre meados de abril e dezembro de 2022.

O grupo de hackers enviou notas e tarefas maliciosas do Outlook para roubar hashes NTLM por meio de solicitações de negociação NTLM, forçando os dispositivos das vítimas a se autenticarem em compartilhamentos SMB controlados pelos atacantes.

As credenciais roubadas foram usadas para movimentação lateral dentro das redes das vítimas e para alterar as permissões das pastas de caixa de correio do Outlook, uma tática que permitia a exfiltração de e-mails de contas específicas.

A Microsoft compartilhou essas informações em um relatório privado de análise de ameaças visto pelo BleepingComputer e disponível para clientes com assinaturas do Microsoft 365 Defender, Microsoft Defender for Business ou Microsoft Defender for Endpoint Plan 2.

A vulnerabilidade ( CVE-2023-23397 ) foi relatada pelo CERT-UA (Equipe de Resposta a Emergências de Computadores da Ucrânia) e é uma falha crítica de segurança de elevação de privilégio do Outlook explorável sem interação do usuário em ataques de baixa complexidade.

Os atores de ameaças podem explorá-lo enviando mensagens com propriedades MAPI estendidas contendo caminhos UNC para um compartilhamento SMB (TCP 445) sob seu controle.

A Microsoft recomenda a correção imediata do CVE-2023-23397 para mitigar essa vulnerabilidade e frustrar quaisquer ataques que possam ocorrer.

A empresa também aconselha a adição de usuários ao grupo de Usuários Protegidos no Active Directory e o bloqueio de saída do SMB (porta TCP 445) se a correção não for imediatamente possível, o que pode limitar o impacto do CVE-2023-23397 .

A Microsoft também lançou um script do PowerShell dedicado para ajudar os administradores a verificar se algum usuário em seu ambiente Exchange foi alvo dessa vulnerabilidade do Outlook.

Este script também permite modificar ou excluir mensagens potencialmente maliciosas se forem encontradas no servidor Exchange auditado quando executado em modo de limpeza.

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...