A Microsoft corrigiu uma vulnerabilidade zero-day do Outlook (
CVE-2023-23397
) explorada por um grupo de hackers ligado ao serviço de inteligência militar GRU da Rússia para atacar organizações europeias.
A vulnerabilidade de segurança foi explorada em ataques contra menos de 15 organizações governamentais, militares, de energia e transporte entre meados de abril e dezembro de 2022.
O grupo de hackers enviou notas e tarefas maliciosas do Outlook para roubar hashes NTLM por meio de solicitações de negociação NTLM, forçando os dispositivos das vítimas a se autenticarem em compartilhamentos SMB controlados pelos atacantes.
As credenciais roubadas foram usadas para movimentação lateral dentro das redes das vítimas e para alterar as permissões das pastas de caixa de correio do Outlook, uma tática que permitia a exfiltração de e-mails de contas específicas.
A Microsoft compartilhou essas informações em um relatório privado de análise de ameaças visto pelo BleepingComputer e disponível para clientes com assinaturas do Microsoft 365 Defender, Microsoft Defender for Business ou Microsoft Defender for Endpoint Plan 2.
A vulnerabilidade (
CVE-2023-23397
) foi relatada pelo CERT-UA (Equipe de Resposta a Emergências de Computadores da Ucrânia) e é uma falha crítica de segurança de elevação de privilégio do Outlook explorável sem interação do usuário em ataques de baixa complexidade.
Os atores de ameaças podem explorá-lo enviando mensagens com propriedades MAPI estendidas contendo caminhos UNC para um compartilhamento SMB (TCP 445) sob seu controle.
A Microsoft recomenda a correção imediata do
CVE-2023-23397
para mitigar essa vulnerabilidade e frustrar quaisquer ataques que possam ocorrer.
A empresa também aconselha a adição de usuários ao grupo de Usuários Protegidos no Active Directory e o bloqueio de saída do SMB (porta TCP 445) se a correção não for imediatamente possível, o que pode limitar o impacto do
CVE-2023-23397
.
A Microsoft também lançou um script do PowerShell dedicado para ajudar os administradores a verificar se algum usuário em seu ambiente Exchange foi alvo dessa vulnerabilidade do Outlook.
Este script também permite modificar ou excluir mensagens potencialmente maliciosas se forem encontradas no servidor Exchange auditado quando executado em modo de limpeza.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...