Bilgisayar korsanları, Outlook’un yaygın olarak kullanılan bir e-posta platformu olması ve büyük bir potansiyel kurban havuzu sağlaması nedeniyle güvenlik açıklarını hedef alıyor ve bunlardan yararlanıyor.
Outlook’taki güvenlik açıklarından yararlanmak bilgisayar korsanlarının şunları yapmasına olanak tanır: –
- Hassas bilgilere yetkisiz erişim elde edin
- Uzlaşma sistemleri
- Kötü amaçlı faaliyetler yürütün
Microsoft’taki siber güvenlik araştırmacıları yakın zamanda bir Rus ulus devlet grubu olan Forest Blizzard’ın (STRONTIUM), Exchange sunucusu e-posta hesaplarına yetkisiz erişim için “CVE-2023-23397″yi aktif olarak kullandığını tespit etti.
Microsoft, Polonya Siber Komutanlığı (DKWOC) ile işbirliği içinde, bu Rus ulus devlet grubu Forest Blizzard’ın arkasındaki tehdit aktörlerine karşı harekete geçiyor.
Outlook’ta Ayrıcalık Yükseltme Güvenlik Açığı
CVE-2023-23397, Windows’ta kritik bir Outlook güvenlik açığı olarak işaretlenmiştir ve tehdit aktörlerinin, kontrol edilen sunucularına Net-NTLMv2 karma sızıntısını tetikleyen hazırlanmış bir mesajdan yararlanmasına olanak tanıyan bir ayrıcalık yükseltme güvenlik açığıdır.
Bu kritik ayrıcalık yükseltme güvenlik açığı, Windows’taki tüm Outlook sürümlerini etkiledi ancak aşağıdaki platformların hiçbir sürümünü etkilemedi: –
- Android
- iOS
- Mac
- İnternet (OWA)
Microsoft’un TNEF’sini (Taşıma Tarafsız Kapsülleme Formatı) kullanan bu teknik, ekler ve Outlook’a özgü özellikler de dahil olmak üzere biçimlendirilmiş e-posta mesajlarını iletmek için Winmail.dat eklerini kullanır.
Windows’ta Outlook, kullanıcıların PidLidReminderFileParameter MAPI özelliğini etkileyen özel hatırlatma sesleri ayarlamasına olanak tanır.
Tehdit aktörleri, özellikleri değiştirmek, kullanıcıları aldatmak ve oturum açmış Windows kullanıcısının Net-NTLMv2 karmasını sızdırmak için MFCMAPI gibi araçları kullanarak bundan yararlanır.
Aşağıda, sömürü sonrası tüm eylemlerden bahsettik: –
- İlk erişim (kimlik doğrulama atlaması): Exchange Sunucuları Net-NTLMv2 Geçiş saldırısına karşı savunmasızdır. Dikkate değer olan şey, Exchange Online için varsayılan olan Azure AD’nin doğrudan etkilenmemesi, ancak bir federal kimlik sağlayıcının risk altında olabilmesidir.
- Kimlik bilgileri erişimi/yanal hareket: Tehdit aktörleri, Exchange Web Hizmetleri (EWS) API’sinden yararlanırken iç ve dış kullanıcılara kötü amaçlı PidLidReminderFileParameter değerleri gönderir.
- Keşif/süreklilik: Tehdit aktörleri, EWS API’sinden yararlanarak, güvenliği ihlal edilmiş bir kullanıcının posta kutusundaki klasör izinlerini sıralayıp değiştirerek yetkisiz erişime izin verir. Bu kalıcılık yöntemi, parola sıfırlandıktan sonra bile erişimin devam etmesini sağlar.
Öneriler
Siber güvenlik araştırmacılarının sunduğu tüm önerilerden aşağıda bahsettik: –
- Azaltma amacıyla Microsoft Outlook’u derhal güncelleştirdiğinizden emin olun. Anında yama uygulanmasının mümkün olmadığı durumlarda tehdidi azaltmak için önerilen güvenlik uygulamalarını uygulayın.
- Kapsamlı savunma azaltımlarını etkinleştirmek için şirket içi Microsoft Exchange Server için en son güvenlik güncelleştirmelerini uygulayın.
- Şüpheli hatırlatıcı değerleri tespit edilirse mesajları veya özellikleri kaldırmak ve gerektiğinde olay müdahalesini başlatmak için komut dosyasını kullanın.
- Şüpheli hatırlatıcılar alan hedeflenen kullanıcıların şifrelerini sıfırlayın ve etkilenen hesaplar için bir olay müdahalesi başlatın.
- Çok faktörlü kimlik doğrulamanın uygulanmasıyla Net-NTLMv2 Geçiş saldırılarının etkisini azaltın.
- Exchange’de tüm gereksiz hizmetlerin devre dışı bırakıldığından emin olun.
- 135 ve 445 numaralı bağlantı noktalarını engelleyerek SMB trafiğini kontrol edin ve izin verilenler listesinde yalnızca belirtilen IP adreslerine izin verin.
- Ortamınızda NTLM’yi devre dışı bırakın.