• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Microsoft исправила уязвимость нулевого дня в Outlook, которую активно эксплуатировали целый год

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Microsoft исправила уязвимость нулевого дня в Outlook под идентификатором CVE-2023-23397. Как сообщается, уязвимость использовалась в атаках с целью взлома сетей около 15 правительственных, военных, энергетических и транспортных организаций в период с середины апреля по декабрь 2022 года.

Как сообщается, к атакам причастна группа хакеров, якобы связанная с российскими спецслужбами. Специалисты отслеживают группировку под разными названиями: APT28, STRONTIUM, Sednit, Sofacy или Fancy Bear. Согласно имеющейся информации, данные хакеры отправляли вредоносные заметки и задачи Outlook для кражи хэшей через запросы согласования NTLM, заставляя целевые устройства проходить аутентификацию на контролируемых злоумышленниками SMB-ресурсах.

Украденные учётные данные использовались для горизонтального перемещения в сетях жертв и для изменения прав доступа к папкам почтовых ящиков Outlook. Эта тактика позволила осуществить эксфильтрацию электронной почты из учётных записей определённых сотрудников, работавших в критически важных отраслях.

«Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданное электронное письмо, которое срабатывает автоматически, когда оно извлекается и обрабатывается клиентом Outlook. При подключении к удаленному SMB-серверу от пользователя отправляется сообщение согласования NTLM, которое злоумышленник может затем передать для проверки подлинности в других системах, поддерживающих проверку подлинности NTLM», — объясняет Microsoft в небольшом отчёте об уязвимости.
CVE-2023-23397 влияет на все поддерживаемые версии Microsoft Outlook для Windows, но не влияет на версии для Android, iOS или macOS. Кроме того, поскольку онлайн-службы, такие как веб-сайт Outlook или Microsoft 365, не поддерживают проверку подлинности NTLM, они неуязвимы для данных атак.

Microsoft призывает клиентов немедленно применить выпущенное исправление уязвимости или добавить пользователей в группу «Защищенные пользователи» в Active Directory и заблокировать исходящий SMB (TCP-порт 445) в качестве временной меры для минимизации воздействия атак.

Редмонд также выпустил специальный скрипт PowerShell, чтобы помочь администраторам проверить, не были ли какие-либо пользователи в их среде Exchange атакованы этой уязвимостью Outlook. «При необходимости администраторы могут использовать этот скрипт для очистки свойства от вредоносных элементов или даже для безвозвратного удаления элементов», — заявляет Microsoft. Скрипт также позволяет изменять или удалять потенциально вредоносные сообщения, если они обнаружены на проверенном сервере Exchange при запуске в режиме очистки.
 
Сверху