Rus bilgisayar korsanları Polonyalı kuruluşları hedeflemek için eski Outlook güvenlik açığını kullanıyor (CVE-2023-23397)


Polonya Siber Komutanlığı, Rus devlet destekli bilgisayar korsanlığı grubu Forest Blizzard’ın (aka Fancy Bear, namı diğer APT28) Polonya’daki kamu ve özel kuruluşları hedef almak için bilinen bir Microsoft Outlook güvenlik açığını (CVE-2023-23397) kullandığı konusunda uyardı.

APT28 Polonya CVE-2023-23397

E-posta hesaplarının güvenliğinin ihlal edilmesi ve bunlara erişimin sürdürülmesi

APT28’in ABD, Avrupa ve Orta Doğu’daki hükümet, sivil toplum, enerji ve ulaştırma kuruluşlarını hedef aldığı biliniyor.

En son saldırılar, Polonya Ulusal Araştırma Enstitüsü’nün (CSIRT NASK) bilgisayar güvenliği olay müdahale ekibi tarafından tespit edildi ve rapor edildi.

Saldırılar, tehdit aktörlerinin Microsoft Exchange sunucularındaki e-posta hesaplarına erişim sağladığını ve kurbanın posta kutusundaki klasör izinlerini değiştirdiğini doğrulayan Polonya Siber Komutanlığı tarafından daha ayrıntılı olarak analiz edildi.

“Düşman için yüksek değerli bilgi hedefleri olan posta kutularındaki klasör izinleri değiştirildi. Bu değişikliğin bir sonucu olarak, saldırgan, Exchange Web Hizmetleri (EWS) protokolünü kullanarak Exchange organizasyonundaki ele geçirilen herhangi bir e-posta hesabı aracılığıyla yüksek değerli bilgi posta kutularının kaynaklarına yetkisiz erişim elde edebildi.” Polonya Siber Komutanlığı şöyle açıkladı: ve değişikliklerin, saldırganların posta kutusunun içeriğine doğrudan erişimi kaybettikten sonra bile yetkisiz erişimi sürdürmelerine olanak tanıdığını belirtti.

APT28, Polonya’daki kuruluşları gözetlemek için CVE-2023-23397’den yararlanıyor

APT28 ilk etapta e-posta hesaplarına nasıl erişim sağladı? Polonya Siber Komutanlığı, kaba kuvvet saldırıları yoluyla ya da CVE-2023-23397’yi kullanarak bunu tespit etti.

CVE-2023-23397, Windows için Microsoft Outlook’u etkileyen kritik bir ayrıcalık yükselmesi güvenlik açığıdır. Mart 2023’te Microsoft tarafından yama uygulandı ancak şirketin Olay Müdahale ekibinin söylediği gibi, “Nisan 2022 gibi erken bir tarihte bu güvenlik açığından yararlanılabileceğine dair kanıtlar var.”

Yamanın yayınlandığı tarihte, CVE-2023-23397’nin Rusya merkezli bir tehdit aktörü tarafından “hükümet, ulaşım, enerji ve benzeri alanlardaki sınırlı sayıda kuruluşa yönelik hedefli saldırılarda sıfır gün” olarak kullanıldığı biliniyordu. ve Avrupa’daki askeri sektörler.

CVE-2023-23397, hedefe hatırlatmayı tetikleyen özel hazırlanmış bir e-posta mesajı gönderilerek kullanılabilir.

“Kullanıcının mesajla etkileşimde bulunmasına gerek yok: Hatırlatma tetiklendiğinde Windows’ta Outlook açıksa, bu istismara izin veriyor. Uzak SMB sunucusuna bağlantı, kullanıcının Net-NTLMv2 karmasını bir anlaşma mesajıyla gönderir; tehdit aktörü bunu a) NTLMv2 kimlik doğrulamasını destekleyen diğer sistemlere karşı kimlik doğrulama için aktarabilir veya b) şifreyi çıkarmak için çevrimdışı kırma gerçekleştirebilir. açıkladı.

Her ne kadar Microsoft, kullanıcıları Mart ayında (ve araştırmacılar CVE-2023-23397’den yeniden yararlanılabilmesi için başka bir güvenlik açığına yönelik düzeltme ekinin atlanabileceğini keşfettiği için Mayıs ayının sonlarında) bu güvenlik açığını düzeltmeye çağırmış olsa da, orada sistemlerin olduğu açıktır. hala yama yapılmamış ve savunmasız durumdalar.

İstismar edilen ek güvenlik açıkları

Mart ayı sonlarında Microsoft, bir şirketin CVE-2023-23397’yi kullanan saldırganlar tarafından ele geçirilip geçirilmediğini belirlemeye yönelik ayrıntılı azaltım önlemleri, güvenlik ihlali göstergeleri ve yöntemler yayınladı ve bu tavsiyeler hala geçerliliğini koruyor.

Polonya Siber Komutanlığı, kuruluşların Microsoft Exchange sunucuları içindeki olası şüpheli posta kutusu klasörü paylaşımını tespit etmek için kullanabileceği bir araç seti ve güvenlik ihlalinden şüpheleniliyorsa ne yapılması gerektiğine ilişkin bir öneri ve yönergeler listesi sağladı.

Düşmanın çok yönlü olduğunu ve Microsoft Exchange posta sisteminin mimarisi ve mekanizmaları hakkında kapsamlı bilgiye sahip olduğunu değerlendiriyorlar.

Saldırganlar ayrıca saldırı trafiğini harmanlamak için ticari VPN hizmetlerini de kullandı ve farklı hedefleri vururken IP adreslerini değiştirdi.

“Siber güvenlik sistemleri tarafından tespit edilebilecek herhangi bir saldırı aracının kasıtlı olarak kullanılmasından kaçınılması nedeniyle bu tür bir saldırının tanımlanması zordur” dediler ve “özel bir tespit oluşturmak, varsayılan olarak kaydedilen olay günlüklerinin analizini gerektirir. posta sunucuları.”

CVE-2023-23397, APT28 saldırganlarının istismar ettiği tek “eski” güvenlik açığı değil: Microsoft’un Tehdit İstihbaratı ekibi diyor düzeltmeler bir süredir mevcut olmasına rağmen grubun hala CVE-2023-38831 ve CVE-2021-40444 için bilinen kamu açıklarından yararlandığını söyledi.





Source link