Microsoft, CVE-2023-23397 olarak izlenen ve Outlook’da keşfedilen zero-day zafiyeti için güncelleme yayınladı. Güvenlik açığı, Nisan ortası ile Aralık 2022 arasında 15 kadar hükümet, ordu, enerji ve ulaşım kuruluşunun ağlarını hedef alan ve ihlal eden saldırılarda kullanıldı.
Saldırgınların ( APT28 , STRONTIUM , Sednit, Sofacy ve Fancy Bear ) zafiyetleri istismar etmek için uzaktan kontrol edilen cihazlara kurbanları SMB kimlik doğrulaması yapmaya zorlayarak NTLM yoluyla NTLM hash bilgilerini çaldıkları belirtildi. Bunuda Outlook üzerinden zararlı kod enjekte edilmiş notlar ve görevler göndererek yaptıkları tespit edildi. Çalınan kimlik bilgileri, kurbanların ağlarında yanal hareket için ve belirli hesaplarda e-posta hırsızlığına izin veren bir taktik olan Outlook posta kutusu klasör izinlerini değiştirmek için kullanıldı.
Saldırganlar, kontrolleri altındaki bir SMB paylaşımına (TCP 445) UNC yolları içeren MAPI özelliklerine sahip mesajlar göndererek zafiyettten yararlanabilir. Güvenlik açığı Microsoft Outlook’un tüm sürümlerini etkiliyor ancak Android, iOS veya macOS sürümlerini etkilemiyor. Bu zafiyeti kapatmak için CVE-2023-23397 güncellemesi yayınlandı ayrıca kullanıcıları Protected Users gruba eklenmesini tavsiye etti. Ancak Protected Users gruba kullanıcılarınızı eklerken dikkatli olmak ve kritik kullanıcıların bu gruba eklemenizde fayda var.
Microsoft ayrıca Exchange ortamlarındaki herhangi bir kullanıcının bu Outlook güvenlik açığı kullanılarak hedeflenip hedeflenmediğini kontrol etmesine yardımcı olmak için bir PowerShell komut dosyası yayınladı.
Kaynak: bleepingcomputer.com
