Microsoft, Rusya’nın askeri istihbarat servisi GRU’ya bağlı bir bilgisayar korsanlığı grubu tarafından Avrupa kuruluşlarını hedef almak için kullanılan bir Outlook sıfır gün güvenlik açığını (CVE-2023-23397) yamaladı.
Güvenlik açığı, Nisan ortası ile Aralık 2022 arasında 15’ten az hükümet, ordu, enerji ve ulaşım kuruluşunun ağlarını hedef alan ve ihlal eden saldırılarda kullanıldı.
Bilgisayar korsanlığı grubu (APT28, STRONTIUM, Sednit, Sofacy ve Fancy Bear olarak izlenir), hedeflerin cihazlarını saldırgan tarafından kontrol edilen SMB paylaşımlarında kimlik doğrulaması yapmaya zorlayarak NTLM müzakere istekleri yoluyla NTLM karmalarını çalmak için kötü amaçlı Outlook notları ve görevleri gönderdi.
Çalınan kimlik bilgileri, kurbanların ağlarında yanal hareket için ve belirli hesaplar için e-posta hırsızlığına izin veren bir taktik olan Outlook posta kutusu klasör izinlerini değiştirmek için kullanıldı.
Microsoft bu bilgiyi BleepingComputer tarafından görülen ve Microsoft 365 Defender, Microsoft Defender for Business veya Microsoft Defender for Endpoint Plan 2 abonelikleri olan müşterilerin kullanımına sunulan özel bir tehdit analizi raporunda paylaştı.
Windows için Outlook’ta Kritik EoP
Güvenlik açığı (CVE-2023-23397), CERT-UA (Ukrayna Bilgisayar Acil Durum Müdahale Ekibi) tarafından bildirildi ve bu, düşük karmaşıklıktaki saldırılarda kullanıcı etkileşimi olmadan yararlanılabilen kritik bir Outlook ayrıcalık yükseltmesi güvenlik açığı.
Tehdit aktörleri, kontrolleri altındaki bir SMB paylaşımına (TCP 445) UNC yolları içeren genişletilmiş MAPI özelliklerine sahip mesajlar göndererek bundan yararlanabilir.
Microsoft, yayınlanan bir güvenlik danışma belgesinde, “Saldırgan, Outlook istemcisi tarafından alındığında ve işlendiğinde otomatik olarak tetiklenen özel hazırlanmış bir e-posta göndererek bu güvenlik açığından yararlanabilir. Bu, e-posta Önizleme Bölmesinde görüntülenmeden ÖNCE istismara yol açabilir.” Bugün.
Redmond, ayrı bir blog gönderisinde “Uzak SMB sunucusuna bağlantı, kullanıcının NTLM anlaşma mesajını gönderir ve saldırgan bunu NTLM kimlik doğrulamasını destekleyen diğer sistemlere karşı kimlik doğrulaması için iletebilir” diye açıklıyor.
CVE-2023-23397, Windows için Microsoft Outlook’un tüm desteklenen sürümlerini etkiler ancak Android, iOS veya macOS için Outlook sürümlerini etkilemez.
Ayrıca, Web üzerinde Outlook ve Microsoft 365 gibi çevrimiçi hizmetler NTLM kimlik doğrulamasını desteklemediğinden, bu NTLM geçişi güvenlik açığından yararlanan saldırılara karşı savunmasız değildir.
Microsoft, gelen tüm saldırıları engellemek amacıyla bu güvenlik açığını azaltmak için hemen CVE-2023-23397 yamasının uygulanmasını önerir.
Şirket ayrıca, CVE-2023-23397’nin etkisini sınırlayabilecek yama hemen mümkün değilse Active Directory’deki Korumalı Kullanıcılar grubuna kullanıcı eklenmesini ve giden SMB’nin (TCP bağlantı noktası 445) engellenmesini tavsiye ediyor.
Azaltma ve hedefleme algılama komut dosyası mevcut
Microsoft, saldırıların etkisini en aza indirmek için geçici bir önlem olarak müşterilerin sistemlerini CVE-2023-23397’ye karşı derhal yama yapmaya veya Active Directory’deki Korumalı Kullanıcılar grubuna kullanıcı eklemeye ve giden SMB’yi (TCP bağlantı noktası 445) engellemeye teşvik ediyor.
Redmond ayrıca, yöneticilerin Exchange ortamlarındaki herhangi bir kullanıcının bu Outlook güvenlik açığı kullanılarak hedeflenip hedeflenmediğini kontrol etmesine yardımcı olmak için özel bir PowerShell komut dosyası yayınladı.
Microsoft, “Bir mülkün bir UNC yolu ile doldurulup doldurulmadığını görmek için Exchange mesajlaşma öğelerini (posta, takvim ve görevler) kontrol eder” diyor.
“Gerekirse, yöneticiler mülkü kötü amaçlı öğelerden temizlemek veya hatta öğeleri kalıcı olarak silmek için bu komut dosyasını kullanabilir.”
Bu betik ayrıca, Temizleme modunda çalıştırıldığında denetlenen Exchange Sunucusunda bulunursa potansiyel olarak kötü amaçlı iletilerin değiştirilmesine veya silinmesine de izin verir.