Microsoft, yakın zamanda Outlook’ta tanımlanan bir güvenlik açığına yanıt olarak, müşterilerine ilişkili IoC’leri keşfetmelerine yardımcı olacak uygun bir kılavuz yayınladı.
Söz konusu Outlook zafiyeti, 9.8 CVSS puanı ile “CVE-2023-23397” olarak izlendi ve Kritik olarak işaretlendi.
Bu açığın bir sonucu olarak, NTLM hash’leri çalınabilir ve herhangi bir kullanıcı etkileşimi olmadan bir geçiş saldırısı gerçekleştirmek için yeniden kullanılabilirler.
Tehdit aktörleri, güvenlik açığından yararlanmak ve kurbanın bağlantısını manipüle etmek için özel hazırlanmış kötü amaçlı e-postalar kullanır. Sonuç olarak, bu, güvenilmeyen bir konumun kontrolünü ele geçirmelerine olanak tanır.
Saldırgan, güvenilmeyen ağa sızan Net-NTLMv2 karması ile kurban olarak kimlik doğrulaması yapabilir.
Microsoft hatayı düzeltti
Mart 2023 için Salı Yaması güncellemelerinde Microsoft, daha fazla saldırı olasılığını önlemek için güvenlik açığını düzeltti.
Sorun şu ki, bu yaklaşım Rus tehdit aktörleri tarafından silah haline getirildikten ve Avrupa’da aşağıdaki sektörlere karşı bir silah olarak kullanıldıktan sonra alındı:
- Devlet
- Toplu taşıma
- Enerji
- Askeri
Nisan 2022’de Microsoft’un olay müdahale ekibinin, eksikliğin istismar edilebileceğine dair kanıt bulduğu bildirildi.
Saldırı zinciri ve tehdit avcılığı
Bir Net-NTLMv2 Relay saldırısının, bir tehdit aktörünün bir saldırı zincirinde bir Exchange Sunucusuna yetkisiz giriş elde etmesine izin verdiği belirlendi.
Saldırgan, bu güvenlik açığından yararlanarak posta kutusu klasör izinlerini değiştirebilir ve kalıcı erişim sağlayarak önemli bir güvenlik riski oluşturabilir.
Düşman, erişimini genişletmek için güvenliği ihlal edilmiş ortamdaki güvenliği ihlal edilmiş e-posta hesabını kullandı. Bunun, aynı kuruluş üzerinden diğer üyelere ek kötü amaçlı mesajlar gönderilerek yapıldığı keşfedildi.
CVE-2023-23397, kapsamlı bir tehdit avı stratejisi uygulamayan kuruluşlarda kimlik bilgilerinin tehlikeye atılmasına yol açabilir.
İlk adım olarak, Microsoft tarafından sağlanan Exchange tarama komut dosyasını çalıştırmak, herhangi bir kötü amaçlı etkinliği algılamak için önemlidir. Ancak, tüm senaryolar için, bu komut dosyasının doğası gereği kötü amaçlı olan iletilere herhangi bir görünürlük sağlayamayacağını belirtmek zorunludur.
Outlook kullanıcıları tarafından aynı anda birden fazla posta kutusu açılabilir. Bir kullanıcı Outlook’u birden çok hizmetten gelen posta kutularını açacak şekilde yapılandırdıysa, diğer hizmetlerden biri aracılığıyla alınan iletiler bu güvenlik açığını tetiklemeye devam eder. Taranan posta kutuları bu mesajı içermez.
Bir kullanıcı bir mesajı yerel bir dosyaya taşımak isterse, bunu yapabilir. Bazı durumlarda, Arşivlenmiş iletilerde daha önceki bir gizliliğin ihlal edildiğine dair kanıt bulmak mümkün olabilir.
Exchange’den silinen Exchange mesajlarınıza artık erişemezsiniz. Olay müdahale ekiplerinin, PidLidReminderFileParameter değerlerinden elde edilen IP adreslerinin ve URI’lerin varlığını doğrulamak için mevcut tüm kanallardan toplanan güvenlik telemetrisini incelemesi önerilir.
Aşağıdakiler dahil olmak üzere veri toplamak için kullanılabilecek bir dizi veri kaynağı vardır: –
- Güvenlik duvarı günlükleri
- proxy günlükleri
- Exchange Online kullanıcıları için Azure Active Directory oturum açma günlükleri
- Exchange Server için IIS Günlükleri
- VPN günlükleri
- RDP Ağ Geçidi günlükleri
- Uç nokta algılama ve yanıtından (EDR) uç nokta telemetrisi
- Adli uç nokta verileri
öneriler
Aşağıda tüm önerilerden bahsettik: –
- Sorunu azaltmak için Microsoft Outlook’u hemen güncellediğinizden emin olun.
- Şirket içi Microsoft Exchange Server’dan yararlanan kuruluşlarda derinlemesine savunma azaltıcı önlemlerin etkin olduğundan emin olun.
- Komut dosyası, şüpheli veya kötü niyetli hatırlatıcı değerler gözlenirse mesajları veya yalnızca özellikleri kaldırmak için kullanılmalıdır.
- Hedeflenen veya güvenliği ihlal edilmiş bir kullanıcının şüpheli hatırlatıcılar alması veya olaya müdahale faaliyetleri başlatması durumunda, parolalarını sıfırlamaları talimatı verilmelidir.
- Olası Net-NTLMv2 Relay saldırılarının etkisini azaltmak için çok faktörlü kimlik doğrulama kullanmanız önerilir.
- Exchange’de ihtiyacınız olmayan gereksiz hizmetleri devre dışı bırakmalısınız.
- İzin verilenler listesindekiler dışındaki tüm IP adreslerinin 135 ve 445 numaralı bağlantı noktalarında bağlantı istemesini engelleyin.
- Ortamınızda NTLM etkinse, devre dışı bırakmalısınız.
API’lerinizi güvence altına almak için arama mı yapıyorsunuz? – Ücretsiz API Sızma Testini Deneyin
İlgili Kapsam