Microsoftは今週、アウトルックの重大なゼロデイセキュリティ欠陥に対する最近のパッチをバイパスするためにリモート攻撃者が悪用する可能性があるセキュリティ脆弱性を修正した。
このゼロクリック バイパス ( CVE-2023-29324 ) は、サポートされているすべてのバージョンの Windows に影響を及ぼし、Akamai のセキュリティ研究者 Ben Barnea によって報告されました。
「すべての Windows バージョンがこの脆弱性の影響を受けます。その結果、Windows 上のすべての Outlook クライアント バージョンが悪用可能になります」とBarnea 氏は説明しました。
3 月にパッチが適用された Outlook のゼロデイ バグ (CVE-2023-23397) は、Windows 版 Outlook クライアントの特権昇格の欠陥であり、これにより攻撃者は NTLM リレー攻撃でユーザーの介入なしに NTLM ハッシュを盗むことができます。
脅威アクターは、カスタム通知サウンドへの UNC パスを含む拡張 MAPI プロパティを含むメッセージを送信することでこれを悪用し、Outlook クライアントをその制御下の SMB 共有に接続させることができます。
Microsoft は、UNC パスがインターネット URL にリンクしないようにするための MapUrlToZone 呼び出しを組み込み、リンクされている場合はサウンドをデフォルトのリマインダーに置き換えることでこの問題に対処しました。
Outlook のゼロクリック権限昇格のバイパス
Barnea は、CVE-2023-23397 軽減策を分析しているときに、リマインダー メッセージ内の URL を変更して、MapUrlToZone チェックをだましてリモート パスをローカル パスとして受け入れることができることを発見しました。
これにより、Microsoft のパッチが回避され、Windows Outlook クライアントが攻撃者のサーバーに接続されるようになります。
「この問題は、 Windows でのパスの複雑な処理の結果であるようです」と Barnea 氏は説明します。
Barnea の調査結果を踏まえ、Microsoft は「完全に保護するには、お客様は CVE-2023-23397 および CVE-2023-29324 の更新プログラムをインストールする必要があります」と警告しています。
Internet Explorer は廃止されましたが、脆弱な MSHTML プラットフォームは、WebBrowser コントロールを介して一部のアプリや Microsoft Edge の Internet Explorer モードで依然として使用されています。
このため、レドモンドでは、完全な保護を維持するために、今月のセキュリティ更新プログラムと、CVE-2023-29324 脆弱性に対処するためにリリースされた IE 累積更新プログラムの両方をインストールするよう顧客に推奨しています。
.png)
ロシア国家ハッカーがデータ窃盗に悪用
Microsoft が非公開の脅威分析レポートで明らかにしたように、4 月中旬から 4 月中旬までの間に、ロシアの APT28 国家ハッカー(別名STRONTIUM 、Sednit、Sofacy、または Fancy Bear) によって、少なくとも 14 の政府、軍事、エネルギー、運輸機関に対する攻撃に悪用されました。 2022 年 12 月。
APT28は、ロシアの軍事諜報機関であるロシア連邦軍参謀本部(GRU)の主要総局と関係があるとされている。
攻撃者は、悪意のある Outlook メモとタスクを使用して、ターゲットのデバイスに攻撃者が制御する SMB 共有への認証を強制することで、NTLM ハッシュを盗みました。
これらの盗まれた資格情報は、被害者のネットワーク内での横方向の移動や、Outlook メールボックスのアクセス許可を変更して特定のアカウントの電子メールを抽出するために使用されました。
Microsoft は、Exchange 管理者がサーバーが侵害されたかどうかを確認できるようにするスクリプトをリリースしましたが、脅威アクターが痕跡をクリーンアップした場合は、他の悪用の兆候を探すようアドバイスもしました。
Comments