Zero-day zraniteľnosť v Microsoft Outlook zneužívajú ruskí hackeri

24. marca 2023

Spoločnosť Microsoft opravila kritickú zraniteľnosť vo svojom e-mailovom riešení Outlook. Jej zneužitie umožňuje získať na diaľku zvýšené oprávnenia v zraniteľnom systéme bez interakcie obete. Zraniteľnosť už takmer rok aktívne zneužívajú ruskí štátni aktéri zo skupiny APT28.

Zraniteľné systémy:
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
Microsoft Outlook 2016 (32-bit edition)
Microsoft Outlook 2016 (64-bit edition)

Opis činnosti:
CVE-2023-23397 (CVSS v3 9,8)
Spoločnosť Microsoft opravila kritickú zraniteľnosť e-mailového klienta Outlook. Zneužívanie tejto chyby zabezpečenia zaznamenali bezpečnostní výskumníci už v apríli 2022, odkedy skupina APT28 patriaca pod ruské vojenské spravodajstvo GRU kompromitovala viaceré európske organizácie, pričom získala Net-NTLMv2 haše a prístup k citlivým e-mailom.
Zraniteľnosť umožňuje útočníkom zvýšiť svoje oprávnenia. Jej zneužitie nevyžaduje interakciu používateľa. Stačí, keď útočník pošle špeciálne vytvorenú pozvánku na udalosť, úlohu alebo e-mail s rozšírenými vlastnosťami MAPI, ktorý obsahuje UNC cestu ku zdieľanému zdroju SMB pod útočníkovou kontrolou. Proces zneužitia zraniteľnosti sa spustí pri prijatí a spracovaní e-mailu klientom Outlook, pred jeho zobrazením. Útočník získa overovaciu správu NTLM, ktorú môže použiť pri overovaní do ďalších systémov.
Bezpečnostní výskumníci Will Dormann a Dominic Chell oznámili, že zraniteľnosť je možné zneužiť aj po inštalácii opravného balíka, no iba pomocou lokálneho hostname v danej sieti.

Závažnosť zraniteľnosti: Vysoká

Možné škody:
• Zvýšenie oprávnení
• Únik citlivých informácií

Odporúčania:
Bezodkladná inštalácia príslušného opravného balíka pre Vašu verziu Microsoft Outlook.
Pokiaľ aktualizácia nie je možná, pridajte používateľov (najmä vysokohodnotné kontá) do skupiny Protected Users Security Group, čím zabránite používaniu NTLM pri ich overovaní. Môžete tiež na firewalle zablokovať odchádzajúce SMB dopyty (TCP port 445). Podrobnejšie informácie TU.
Skontrolujte, či došlo k útoku na Vašu infraštruktúru pomocou skriptu od spoločnosti Microsoft.

Odkazy:
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-outlook-zero-day-used-by-russian-hackers-since-april-2022/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
https://www.huntress.com/blog/everything-we-know-about-cve-2023-23397