گزارش جدید مایکروسافت برای بررسی حملات سواستفاده از CVE-2023-23397 در Outlook

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir detecting cve 2023 23397 attacks 1
مایکروسافت در مورد حملات سایبری با سواستفاده از آسیب‌پذیری Outlook که به‌تازگی رفع شده، دستورالعملی را برای بررسی این آسیب‌پذیری که با نام CVE-2023-23397 (امتیاز CVSS : 9.8) رد‌یابی می‌شود، منتشر نموده است.

این نقص یک آسیب‌پذیری اسپوفینگ Microsoft Outlook است که می‌تواند منجر به دور زدن احراز هویت شود.

یک مهاجم از راه دور و احراز هویت نشده می‌تواند از این نقص برای دسترسی به هش Net-NTLMv2 کاربر با ارسال یک ایمیل ساخته شده ویژه به سیستم آسیب دیده سواستفاده کند.

گزارش منتشر شده مایکروسافت می‌گوید : "مهاجمی که با موفقیت از این آسیب‌پذیری سواستفاده کرد، می‌تواند به هش Net-NTLMv2 کاربر دسترسی داشته باشد که می‌تواند به‌عنوان مبنای حمله رله NTLM علیه سرویس دیگری برای احراز هویت به‌عنوان کاربر مورد استفاده قرار گیرد. مهاجم می‌تواند از این آسیب‌پذیری با ارسال یک ایمیل ساخته‌شده ویژه سواستفاده کند که به‌طور خودکار هنگام بازیابی و پردازش توسط مخاطب Outlook فعال می‌شود. این می‌تواند منجر به سواستفاده قبل از مشاهده ایمیل در صفحه پیش‌نمایش شود. مهاجمان خارجی می‌توانند ایمیل‌های ساخته‌شده‌ای را ارسال کنند که باعث اتصال قربانی به یک مکان UNC خارجی تحت کنترل مهاجمان شود. این کار هش Net-NTLMv2 قربانی را به مهاجم لو می‌دهد و سپس می‌تواند آن را به سرویس دیگری منتقل کند و به‌جای قربانی احراز هویت کند. "

این آسیب‌پذیری توسط CERT-UA، واحد Incident Response مایکروسافت و Microsoft Threat Intelligence (MSTI) گزارش شده است که نشان می‌دهد یک عامل دولتی از آن سواستفاده کرده است.

مایکروسافت این نقص را به‌عنوان بخشی از بروزرسانی‌های Patch Tuesday برای مارس ۲۰۲۳ برطرف کرد.

راهنمایی منتشر شده توسط مایکروسافت شامل جزئیاتی در مورد حملات با استفاده از این آسیب‌پذیری است. نمودار زیر مهاجمانی را نشان می‌دهد که با استفاده از یک حمله رله Net-NTLMv2 به‌دسترسی اولیه دست می‌یابند، سپس از طریق تغییر مجوز‌های فولدر میل‌باکس، پایداری خود را حفظ می‌کنند و با ارسال پیام‌های مخرب اضافی، حرکت جانبی را انجام می‌دهند.

takian.ir detecting cve 2023 23397 attacks 2
‌طبق مشاهدات، عامل تهدید از CVE-2023-23397 برای دسترسی غیرمجاز به Exchange Server و تغییر مجوز‌های فولدر میل‌باکس برای دسترسی مداوم به Mailbox استفاده می‌کند. (مایکروسافت)

در سناریوی حمله زیر، عوامل تهدید از حساب ایمیل در معرض خطر استفاده کردند تا با هدف قرار دادن سایر اعضای همان سازمان، دسترسی خود را در محیط در معرض خطر، گسترش دهند.

takian.ir detecting cve 2023 23397 attacks 3
فعالیت عامل تهدید مشاهده شده برای گسترش دسترسی خود در یک محیط در معرض خطر با استفاده از یک حساب ایمیل در معرض خطر برای هدف قرار دادن سایر اعضای همان سازمان (مایکروسافت)

در ادامه این گزارش آمده است : "اگرچه استفاده از هش‌های NTLMv2 برای دسترسی غیرمجاز به منابع تکنیک جدیدی محسوب نمی‌شود، اما بهره‌برداری از CVE-2023-23397 جدید و مخفیانه است. حتی زمانی که کاربران یادآوری‌های مشکوک را در مورد تسک‌ها گزارش کردند، بازبینی امنیتی اولیه پیام‌ها، تسک‌ها یا موارد تقویم منجر به شناسایی فعالیت مخرب نشد. علاوه بر این، عدم نیاز به هر‌گونه تعامل با کاربر به ماهیت منحصر‌به‌فرد این آسیب‌پذیری کمک می‌کند. در این گزارش، Microsoft Incident Response، به تکنیک‌ها و استراتژی شکار عامل تهدید برای بهره‌برداری از این CVE را در کنار برخی تکنیک‌های شکار برای رفتار‌های عامل تهدید پس از بهره‌برداری مشاهده شده، اشاره کرده است. "

این راهنمایی همچنین شامل شاخص‌های حمله برای این کمپین است.

محققان شرکت اطلاعاتی تهدید Mandiant همچنین گزارش دادند که فعالیتی مربوط به یک کمپین جاسوسی سایبری چند ماهه را مشاهده کرده‌اند که از آسیب‌پذیری Microsoft Exchange CVE-2023-23397 انجام شده است. این کمپین توسط یک عامل تهدید با عنوان UNC4697 (احتمالا مرتبط با گروه APT28) به‌وقوع پیوسته است.

برچسب ها: Microsoft Exchange CVE-2023-23397, UNC4697, Mailbox, Microsoft Threat Intelligence, Net-NTLMv2, اسپوفینگ, Spoofing, اوت لوک, CVE-2023-23397, Incident Response, Microsoft Outlook, APT28, Patch Tuesday, NTLM, Email, Exchange Server, Outlook, Microsoft, آسیب‌پذیری, Vulnerability, ایمیل, دفاع سایبری, تهدیدات سایبری, Cyber Security, مایکروسافت, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ