Outlook

マイクロソフトは、ロシアの軍事情報サービス GRU に関連するハッキング グループがヨーロッパの組織を標的として悪用した、Outlook のゼロデイ脆弱性 (CVE-2023-23397) にパッチを適用しました。

セキュリティの脆弱性は、2022 年 4 月中旬から 12 月までの間に、15 未満の政府、軍事、エネルギー、輸送機関のネットワークを標的にして侵害する攻撃で悪用されました。

ハッキング グループ ( APT28STRONTIUM 、Sednit、Sofacy、および Fancy Bear として追跡) は、悪意のある Outlook のメモとタスクを送信し、NTLM ネゴシエーション要求を介して NTLM ハッシュを盗み、攻撃者が制御する SMB 共有に対してターゲットのデバイスを強制的に認証させました。

盗まれた資格情報は、被害者のネットワーク内で横方向に移動し、Outlook メールボックス フォルダーのアクセス許可を変更するために使用されました。これは、特定のアカウントの電子メールの流出を可能にする戦術です。

Microsoft は、この情報を、Microsoft 365 Defender、Microsoft Defender for Business、または Microsoft Defender for Endpoint Plan 2 サブスクリプションを使用しているお客様が閲覧および利用できる非公開の脅威分析レポートで共有しました。

Outlook for Windows の重要な EoP

脆弱性 ( CVE-2023-23397 ) は CERT-UA (ウクライナのコンピューター緊急対応チーム) によって報告されました。これは、複雑さの低い攻撃でユーザーの操作なしで悪用可能な Outlook の重大な特権昇格セキュリティ欠陥です。

攻撃者は、制御下にある SMB 共有 (TCP 445) への UNC パスを含む拡張 MAPI プロパティを持つメッセージを送信することで、これを悪用できます。

「攻撃者は、特別に細工された電子メールを送信することで、この脆弱性を悪用する可能性があります。この電子メールは、Outlook クライアントによって取得および処理されると自動的にトリガーされます。これにより、電子メールがプレビュー ペインで表示される前に悪用される可能性があります」と Microsoft は公開されたセキュリティ アドバイザリで述べています。今日。

「リモート SMB サーバーへの接続は、ユーザーの NTLM ネゴシエーション メッセージを送信します。攻撃者は、NTLM 認証をサポートする他のシステムに対する認証のために中継することができます」と Redmond 氏は別のブログ投稿に追加して説明しています

CVE-2023-23397 は、Microsoft Outlook for Windows のサポートされているすべてのバージョンに影響しますが、Android、iOS、または macOS バージョンの Outlook には影響しません。

さらに、Outlook on the web や Microsoft 365 などのオンライン サービスは NTLM 認証をサポートしていないため、この NTLM リレーの脆弱性を利用した攻撃に対して脆弱ではありません。

マイクロソフトは、CVE-2023-23397 にパッチを適用して、この脆弱性を軽減し、受信する攻撃を阻止することをお勧めします。

同社はまた、CVE-2023-23397 の影響を制限する可能性があるパッチをすぐに適用できない場合は、Active Directory の保護されたユーザー グループにユーザーを追加し、アウトバウンド SMB (TCP ポート 445) をブロックすることをお勧めします。

ミティゲーションとターゲティング検出スクリプトが利用可能

Microsoft は、攻撃の影響を最小限に抑えるための一時的な緩和策として、CVE-2023-23397 に対するパッチを直ちにシステムに適用するか、Active Directory の保護されたユーザー グループにユーザーを追加し、アウトバウンド SMB (TCP ポート 445) をブロックすることをお勧めします。

また、Redmond は専用の PowerShell スクリプトをリリースし、 Exchange 環境内のユーザーがこの Outlook の脆弱性を利用して標的にされているかどうかを管理者が確認できるようにしました。

Microsoft は、「Exchange のメッセージ アイテム (メール、予定表、およびタスク) をチェックして、プロパティに UNC パスが設定されているかどうかを確認します」 と述べています

「必要に応じて、管理者はこのスクリプトを使用して、悪意のあるアイテムのプロパティをクリーンアップしたり、アイテムを完全に削除したりすることができます。」

このスクリプトをクリーンアップ モードで実行すると、監査対象の Exchange Server で悪意のある可能性があるメッセージが見つかった場合、そのメッセージを変更または削除することもできます。