Microsoft’un Tehdit İstihbaratı ekibi bugün erken saatlerde, Rus devlet destekli aktör APT28’in (“Fancybear” veya “Strontium”) Microsoft Exchange hesaplarını ele geçirmek ve hassas bilgileri çalmak için CVE-2023-23397 Outlook kusurunu aktif olarak kullandığına ilişkin bir uyarı yayınladı.
Hedeflenen kuruluşlar arasında ABD, Avrupa ve Orta Doğu’daki hükümet, enerji, ulaştırma ve diğer önemli kuruluşlar yer alıyor.
Teknoloji devi ayrıca, aynı saldırılarda, WinRAR’da CVE-2023-38831 ve Windows MSHTML’de CVE-2021-40444 dahil olmak üzere, kamuya açık istismarlarla diğer güvenlik açıklarından yararlanıldığını da vurguladı.
Outlook kusurlarından yararlanma arka planı
CVE-2023-23397, Windows’ta Outlook’ta bulunan ve Microsoft’un Mart 2023 Yolu Salı günü sıfır gün olarak düzelttiği kritik bir ayrıcalık yükselmesi (EoP) güvenlik açığıdır.
Kusurun açığa çıkması, APT28’in Nisan 2022’den bu yana, NTLM hash’lerini çalmak için tasarlanmış özel hazırlanmış Outlook notları aracılığıyla bu kusurdan yararlandığının ortaya çıkmasıyla birlikte geldi ve hedef cihazları, kullanıcı etkileşimi gerektirmeden saldırgan tarafından kontrol edilen SMB paylaşımlarında kimlik doğrulaması yapmaya zorladı.
APT28, karmaşık olmadığı kanıtlanan sistemdeki ayrıcalıklarını yükselterek, kurbanın ortamında yanal hareket gerçekleştirdi ve hedefe yönelik e-posta hırsızlığı gerçekleştirmek için Outlook posta kutusu izinlerini değiştirdi.
Güvenlik güncellemeleri ve hafifletme önerilerinin mevcut olmasına rağmen, saldırı yüzeyi önemli olmaya devam etti ve Mayıs ayında yapılan düzeltmenin (CVE-2023-29324) atlanması durumu daha da kötüleştirdi.
Recorded Future, Haziran ayında APT28’in Outlook kusurunu önemli Ukrayna kuruluşlarına karşı kullanabileceği konusunda uyardı. Ekim ayında, Fransız siber güvenlik kurumu (ANSSI), Rus bilgisayar korsanlarının sıfır tıklama saldırısını Fransa’daki devlet kurumlarına, işletmelere, üniversitelere, araştırma enstitülerine ve düşünce kuruluşlarına karşı kullandığını ortaya çıkardı.
Saldırılar hâlâ devam ediyor
Microsoft’un son uyarısı, GRU bilgisayar korsanlarının saldırılarda hâlâ CVE-2023-38831’den yararlandığını, dolayısıyla kritik EoP kusuruna karşı hâlâ savunmasız kalan sistemlerin bulunduğunu vurguluyor.
Teknoloji firması ayrıca Polonya Siber Komuta Merkezi’nin (DKWOC) saldırıların tespit edilmesine ve durdurulmasına yardımcı olma yönündeki çalışmalarına da dikkat çekti. DKWOC ayrıca CVE-2023-38831’den yararlanan APT28 etkinliğini açıklayan bir gönderi yayınladı.
Şu anda gerçekleştirilmesi önerilen eylem, önceliğe göre sıralanmıştır:
- CVE-2023-23397 ve CVE-2023-29324’ü atlatma için mevcut güvenlik güncellemelerini uygulayın.
- Herhangi bir Exchange kullanıcısının hedeflenip hedeflenmediğini kontrol etmek için Microsoft’un bu komut dosyasını kullanın.
- Güvenliği ihlal edilmiş kullanıcıların şifrelerini sıfırlayın ve tüm kullanıcılar için MFA’yı (çok faktörlü kimlik doğrulama) etkinleştirin.
- Tüm gelen IP adreslerinden 135 ve 445 numaralı bağlantı noktalarına yapılan bağlantıları engelleyerek SMB trafiğini sınırlayın
- Ortamınızda NTLM’yi devre dışı bırakın.
APT28’in son derece becerikli ve uyarlanabilir bir tehdit grubu olduğu göz önüne alındığında, en etkili savunma stratejisi, tüm arayüzlerdeki saldırı yüzeyini azaltmak ve tüm yazılım ürünlerinin en son güvenlik yamalarıyla düzenli olarak güncellenmesini sağlamaktır.