Microsoft a publié aujourd’hui un guide détaillé visant à aider les clients à découvrir des signes de compromission via l’exploitation d’une vulnérabilité de jour zéro Outlook récemment corrigée.

Suivie sous le nom de CVE-2023-23397, cette faille de sécurité d’escalade de privilèges dans le client Outlook pour Windows permet aux attaquants de voler les hachages NTLM sans interaction de l’utilisateur dans les attaques zéro clic à relais NTLM.

Les acteurs de la menace peuvent l’exploiter en envoyant des messages avec des propriétés MAPI étendues contenant des chemins UNC aux partages SMB contrôlés par l’attaquant.

Dans le rapport d’aujourd’hui, Microsoft a partagé plusieurs techniques pour découvrir si les informations d’identification ont été compromises via des exploits CVE-2023-23397, ainsi que des mesures d’atténuation pour se défendre contre de futures attaques.

Alors que la société a également publié un script pour aider les administrateurs à vérifier si des utilisateurs d’Exchange ont été ciblés, Redmond a déclaré que les défenseurs doivent rechercher d’autres signes d’exploitation si les acteurs de la menace ont nettoyé leurs traces en supprimant tous les messages incriminants.

Les autres sources d’indicateurs de compromis liés à cette faille Outlook incluent la télémétrie extraite de plusieurs sources telles que les journaux de pare-feu, de proxy, de VPN et de passerelle RDP, ainsi que les journaux de connexion Azure Active Directory pour les utilisateurs d’Exchange Online et les journaux IIS pour Exchange. Serveur.

Les autres endroits où les équipes de sécurité doivent rechercher des signes de compromis sont les données médico-légales des points de terminaison comme les journaux d’événements Windows et la télémétrie des points de terminaison à partir des solutions de détection et de réponse des points de terminaison (EDR) (si disponibles).

Dans les environnements compromis, les indicateurs de post-exploitation sont liés au ciblage des utilisateurs Exchange EWS/OWA et aux changements d’autorisation de dossier de boîte aux lettres malveillants permettant aux attaquants d’obtenir un accès persistant aux e-mails des victimes.

Mesures d’atténuation CVE-2023-23397
Microsoft a également partagé des conseils sur la façon de bloquer les futures attaques ciblant cette vulnérabilité, exhortant les organisations à installer la mise à jour de sécurité Outlook récemment publiée.

« Pour remédier à cette vulnérabilité, vous devez installer la mise à jour de sécurité Outlook, quel que soit l’endroit où votre messagerie est hébergée (par exemple, Exchange Online, Exchange Server, une autre plate-forme) ou la prise en charge par votre organisation de l’authentification NTLM », a déclaré l’équipe Microsoft Incident Response.

D’autres mesures que les organisations à risque peuvent prendre pour atténuer ces attaques et comportements post-exploitation incluent :

  • Pour les organisations utilisant Microsoft Exchange Server sur site, appliquez les dernières mises à jour de sécurité pour vous assurer que les atténuations de défense en profondeur sont actives.
  • Lorsque des valeurs de rappel suspectes ou malveillantes sont observées, veillez à utiliser le script pour supprimer les messages ou uniquement les propriétés, et envisagez de lancer des activités de réponse aux incidents.
  • Pour tout utilisateur ciblé ou compromis, réinitialisez les mots de passe de tout compte connecté aux ordinateurs dont l’utilisateur a reçu des rappels suspects et lancez des activités de réponse aux incidents.
  • Utilisez l’authentification multifacteur pour atténuer l’impact des attaques potentielles de relais Net-NTLMv2. REMARQUE : Cela n’empêchera pas un auteur de menace de divulguer des informations d’identification et de les casser hors ligne.
  • Désactivez les services inutiles sur Exchange.
  • Limitez le trafic SMB en bloquant les connexions sur les ports 135 et 445 de toutes les adresses IP entrantes, à l’exception de celles figurant sur une liste d’autorisation contrôlée.
  • Désactivez NTLM dans votre environnement.

Exploité par des pirates militaires russes
CVE-2023-23397 est exploité activement depuis au moins avril 2022 et a été utilisé pour violer les réseaux d’au moins 15 organisations gouvernementales, militaires, énergétiques et de transport en Europe.

Alors que Microsoft a publiquement lié ces attaques à « un acteur de menace basé en Russie », Redmond a également déclaré dans un rapport d’analyse de menace privé vu par Breachtrace qu’il pense que le groupe de piratage est APT28 (également suivi sous le nom de STRONTIUM, Sednit, Sofacy et Fancy Bear) .

Cet acteur menaçant était auparavant lié à la direction principale de l’état-major général des forces armées de la Fédération de Russie (GRU), le service de renseignement militaire russe.

Les informations d’identification qu’ils ont volées lors de ces attaques ont été utilisées pour les déplacements latéraux et pour modifier les autorisations des dossiers de boîtes aux lettres Outlook, une tactique qui leur a permis d’exfiltrer les e-mails de comptes spécifiques.

« Bien que l’exploitation des hachages NTLMv2 pour obtenir un accès non autorisé aux ressources ne soit pas une technique nouvelle, l’exploitation de CVE-2023-23397 est nouvelle et furtive », a ajouté l’équipe Microsoft Incident Response.

« Même lorsque les utilisateurs ont signalé des rappels suspects sur les tâches, l’examen de sécurité initial des messages, des tâches ou des éléments de calendrier impliqués n’a pas abouti à la détection de l’activité malveillante. De plus, l’absence de toute interaction requise de l’utilisateur contribue à la nature unique de cette vulnérabilité. . »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *