Η Microsoft δημοσίευσε σήμερα έναν λεπτομερή οδηγό με στόχο να βοηθήσει τους πελάτες να ανακαλύψουν σημάδια συμβιβασμού μέσω της εκμετάλλευσης μιας ευπάθειας μηδενικής ημέρας του Outlook που επιδιορθώθηκε πρόσφατα.
Παρακολούθηση ως CVE-2023-23397, αυτό το ελάττωμα ασφαλείας κλιμάκωσης προνομίων στο πρόγραμμα-πελάτη του Outlook για Windows επιτρέπει στους εισβολείς να κλέβουν κατακερματισμούς NTLM χωρίς αλληλεπίδραση χρήστη σε επιθέσεις μηδενικού κλικ αναμετάδοσης NTLM.
Οι φορείς απειλής μπορούν να την εκμεταλλευτούν στέλνοντας μηνύματα με εκτεταμένες ιδιότητες MAPI που περιέχουν διαδρομές UNC σε κοινόχρηστα στοιχεία SMB που ελέγχονται από τους εισβολείς.
Στη σημερινή αναφορά, η Microsoft μοιράστηκε πολλές τεχνικές για να ανακαλύψει εάν τα διαπιστευτήρια παραβιάστηκαν μέσω εκμεταλλεύσεων CVE-2023-23397, καθώς και μέτρα μετριασμού για άμυνα έναντι μελλοντικών επιθέσεων.
Ενώ η εταιρεία επίσης κυκλοφόρησε ένα σενάριο για να βοηθήσει τους διαχειριστές να ελέγξουν εάν κάποιοι χρήστες του Exchange έχουν στοχοποιηθεί, είπε ότι οι υπερασπιστές πρέπει να αναζητήσουν άλλα σημάδια εκμετάλλευσης εάν οι φορείς απειλών έχουν καθαρίσει τα ίχνη τους διαγράφοντας τυχόν ενοχοποιητικά μηνύματα.
Οι εναλλακτικές πηγές ενδείξεων συμβιβασμού που συνδέονται με αυτό το ελάττωμα του Outlook περιλαμβάνουν τηλεμετρία που εξάγεται από πολλαπλές πηγές, όπως αρχεία καταγραφής τείχους προστασίας, διακομιστή μεσολάβησης, VPN και πύλης RDP, καθώς και αρχεία καταγραφής εισόδου στο Azure Active Directory για χρήστες Exchange Online και αρχεία καταγραφής IIS για Exchange Server/.
Άλλα μέρη που πρέπει να ελέγχουν οι ομάδες ασφαλείας για ενδείξεις συμβιβασμού είναι τα εγκληματολογικά δεδομένα τελικού σημείου, όπως τα αρχεία καταγραφής συμβάντων των Windows και η τηλεμετρία τελικού σημείου από λύσεις ανίχνευσης και απόκρισης τελικού σημείου (EDR) (εάν υπάρχουν).
Σε παραβιασμένα περιβάλλοντα, οι δείκτες μετά την εκμετάλλευση συνδέονται με τη στόχευση των χρηστών του Exchange EWS/OWA και τις αλλαγές δικαιωμάτων φακέλων του κακόβουλου γραμματοκιβωτίου που επιτρέπουν στους εισβολείς να αποκτήσουν μόνιμη πρόσβαση στα μηνύματα ηλεκτρονικού ταχυδρομείου των θυμάτων.