Microsoft 24 марта поделилась руководством по безопасности , чтобы помочь своим клиентам оперативно обнаруживать индикаторы компрометации (IoC (Indicator of Compromise) — это признак компрометации в кибербезопасности. Это может быть файл, сетевой адрес, реестр Windows или другой объект, который может быть использован для обнаружения или подтверждения наличия киберугрозы в ИТ-системе.
» data-html=»true» data-original-title=»IoC»>IoC), связанные с недавно исправленной уязвимостью Outlook.
Отслеживаемая как CVE-2023-23397
(оценка CVSS: 9,8), критическая уязвимость связана со повышением привилегий, которое может быть использовано для кражи хэшей NT Lan Manager (NTLM) и проведения ретрансляционной атаки без какого-либо вмешательства пользователя.
«Внешние злоумышленники могут отправлять специально созданные электронные письма, ведущие к подключению жертвы к ненадежному местоположению, контролируемому злоумышленниками. Уязвимость может привести к утечке хэша Net-NTLMv2 жертвы в ненадежную сеть, которую злоумышленник затем может ретранслировать другой службе, чтобы пройти аутентификацию от лица жертвы», — отметила Microsoft в бюллетене безопасности , опубликованном в этом месяце.
Уязвимость была недавно устранена Microsoft в рамках своих регулярных обновлений Patch Tuesday — это ежемесячное обновление безопасности, выпускаемое Microsoft для операционных систем Windows. Обычно оно выходит во второй вторник каждого месяца.
Каждое обновление включает исправления уязвимостей безопасности и другие исправления ошибок, которые были обнаружены с момента предыдущего выпуска.
Patch Tuesday может включать как критические исправления безопасности, которые необходимо установить как можно скорее, так и менее важные исправления, с установкой которых можно не спешить.
» data-html=»true» data-original-title=»Patch Tuesday»>«Patch Tuesday» в марте 2023 года. Однако, как сообщается, некие киберпреступники, предположительно связанные с Россией, успели воспользоваться этой уязвимостью в своих атаках, направленных на правительственный, транспортный, энергетический и военный секторы Европы. Группа реагирования на инциденты в Microsoft заявила, что уже в апреле 2022 года обнаружила некоторые доказательства возможного использования уязвимости.
В одной из цепочек атак, описанной специалистами компании, успешная атака Net-NTLMv2 Relay позволила злоумышленнику получить несанкционированный доступ к серверу Microsoft Exchange — это сервер электронной почты, работающий в операционных системах Windows Server. Exchange работает с почтовыми веб-клиентами, такими как Microsoft Outlook , которые могут подключаться к электронной почте из различных источников и управлять ею. На самом деле Outlook действительно оптимизирован для Exchange и лучше всего работает только при использовании учетной записи Exchange.