微软警告俄罗斯黑客利用Stealthy Outlook漏洞

微软周五分享了帮助客户发现与最近修补的Outlook漏洞相关的危害指标(IoC)的指南。

跟踪为 CVE-2023-23397（CVSS 分数：9.8），该严重缺陷与特权升级案例有关，可被利用窃取NT Lan Manager(NTLM)哈希并发起中继攻击，而无需任何用户交互。

该公司在本月发布的一份公告中指出：“外部攻击者可以发送特制的电子邮件，从而导致受害者连接到攻击者控制的不受信任的位置。”

“这会将受害者的Net-NTLMv2 散列泄露到不受信任的网络，然后攻击者可以将其中继到另一项服务并以受害者身份进行身份验证。

作为2023年3月补丁星期二更新的一部分，微软解决了该漏洞，但在此之前，俄罗斯的威胁行为者将该漏洞用于针对欧洲政府、交通、能源和军事部门的攻击。

微软的事件响应表示，它早在2022年4月就发现了该漏洞可能被利用的证据。

在该技术巨头描述的一个攻击链中，一次成功的Net-NTLMv2中继攻击使威胁行为者能够获得对Exchange服务器的未授权访问并修改邮箱文件夹权限以实现持久访问。

然后，通过向同一组织的其他成员发送额外的恶意邮件，使用受感染的电子邮件帐户来扩展对手在受感染环境中的访问权限。

“虽然利用NTLMv2哈希来获得对资源的未授权访问并不是一项新技术，但 CVE-2023-23397 的利用是新颖且隐秘的，”

“组织应审查SMBClient事件日志记录、进程创建事件和其他可用的网络遥测，以确定通过CVE-2023-23397进行的潜在利用。”

披露之际，美国网络安全和基础设施安全局(CISA)发布了一种新的开源事件响应工具，可帮助检测Microsoft云环境中的恶意活动迹象。

该机构称，该实用程序被称为Untitled Goose Tool，它提供了“新颖的身份验证和数据收集方法”来分析Microsoft Azure、Azure Active Directory和Microsoft 365环境。

今年早些时候，微软还敦促客户更新他们的本地Exchange服务器，并采取措施加强他们的网络以减轻潜在威胁。

关于CVE-2023-23397的POC可以参考这里。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5357.html