Cuma günü Microsoft, müşterilerin yakın zamanda yamalanan bir Outlook güvenlik açığıyla ilişkili risk göstergelerini (IoC’ler) keşfetmesine yardımcı olmak için rehberlik paylaştı.
CVE-2023-23397 (CVSS puanı: 9.8) olarak izlenen kritik kusur, NT Lan Manager (NTLM) sağlamalarını çalmak ve herhangi bir kullanıcı etkileşimi gerektirmeden bir geçiş saldırısı düzenlemek için istismar edilebilecek bir ayrıcalık yükseltme durumuyla ilgilidir.
Şirket, bu ay yayınlanan bir danışma belgesinde, “Dış saldırganlar, kurbandan saldırganların kontrolündeki güvenilmeyen bir konuma bağlantıya neden olacak özel hazırlanmış e-postalar gönderebilir” dedi.
“Bu, kurbanın Net-NTLMv2 karmasını, bir saldırganın daha sonra başka bir hizmete aktarabileceği ve kurban olarak kimlik doğrulaması yapabileceği güvenilmeyen ağa sızdıracaktır.
Güvenlik açığı, Mart 2023 için Salı Yaması güncellemelerinin bir parçası olarak Microsoft tarafından çözüldü, ancak Rusya merkezli tehdit aktörleri Avrupa’daki hükümet, ulaşım, enerji ve askeri sektörleri hedef alan saldırılardaki kusuru silah haline getirmeden önce değil.
Microsoft’un olay müdahale ekibi, Nisan 2022 gibi erken bir tarihte, eksikliğin potansiyel istismarına dair kanıt bulduğunu söyledi.
Teknoloji devi tarafından açıklanan bir saldırı zincirinde, başarılı bir Net-NTLMv2 Geçiş saldırısı, tehdit aktörünün bir Exchange Sunucusuna yetkisiz erişim elde etmesini ve kalıcı erişim için posta kutusu klasörü izinlerini değiştirmesini sağladı.
Ele geçirilen e-posta hesabı daha sonra, aynı kuruluşun diğer üyelerini hedef alacak ek kötü amaçlı mesajlar göndererek, güvenliği ihlal edilmiş ortam içinde rakibin erişimini genişletmek için kullanıldı.
Microsoft, “Kaynaklara yetkisiz erişim elde etmek için NTLMv2 karmalarından yararlanmak yeni bir teknik olmasa da, CVE-2023-23397’nin kötüye kullanılması yeni ve gizlidir” dedi.
“Kuruluşlar, CVE-2023-23397 aracılığıyla potansiyel istismarı belirlemek için SMBClient olay günlüğünü, İşlem Oluşturma olaylarını ve diğer mevcut ağ telemetrisini incelemelidir.”
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Açıklama, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA), Microsoft bulut ortamlarındaki kötü amaçlı etkinlik belirtilerini tespit etmeye yardımcı olan yeni bir açık kaynaklı olay müdahale aracını yayınlamasıyla geldi.
Ajans, Adsız Kaz Aracı olarak adlandırılan Python tabanlı yardımcı programın Microsoft Azure, Azure Active Directory ve Microsoft 365 ortamlarını analiz etmek için “yeni kimlik doğrulama ve veri toplama yöntemleri” sunduğunu söyledi.
Bu yılın başlarında Microsoft ayrıca müşterilerini şirket içi Exchange sunucularını güncel tutmaya ve potansiyel tehditleri azaltmak için ağlarını güçlendirmeye yönelik adımlar atmaya çağırdı.