Microsoft telah menambal kerentanan Outlook zero-day (CVE-2023-23397) yang dieksploitasi oleh grup peretasan yang terkait dengan layanan intelijen militer Rusia GRU untuk menargetkan organisasi Eropa.
Kerentanan keamanan dieksploitasi dalam serangan untuk menargetkan dan menembus jaringan kurang dari 15 organisasi pemerintah, militer, energi, dan transportasi antara pertengahan April dan Desember 2022.
Grup peretasan (dilacak sebagai APT28, SRONTIUMSednit, Sofacy, dan Fancy Bear) mengirimkan catatan dan tugas Outlook berbahaya untuk mencuri hash NTLM melalui permintaan negosiasi NTLM dengan memaksa perangkat target mengautentikasi ke share SMB yang dikontrol penyerang.
Kredensial yang dicuri digunakan untuk pergerakan lateral dalam jaringan korban dan untuk mengubah izin folder kotak surat Outlook, sebuah taktik yang memungkinkan eksfiltrasi email untuk akun tertentu.
Microsoft membagikan info ini dalam laporan analitik ancaman pribadi yang dilihat oleh BleepingComputer dan tersedia untuk pelanggan dengan langganan Microsoft 365 Defender, Microsoft Defender for Business, atau Microsoft Defender for Endpoint Plan 2.
EoP penting di Outlook untuk Windows
Kerentanan (CVE-2023-23397) dilaporkan oleh CERT-UA (Tim Tanggap Darurat Komputer untuk Ukraina), dan ini merupakan elevasi Outlook kritis dari kelemahan keamanan hak istimewa yang dapat dieksploitasi tanpa interaksi pengguna dalam serangan dengan kompleksitas rendah.
Pelaku ancaman dapat mengeksploitasinya dengan mengirimkan pesan dengan properti MAPI yang diperluas yang berisi jalur UNC ke bagian SMB (TCP 445) di bawah kendali mereka.
“Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan email yang dibuat khusus yang dipicu secara otomatis saat diambil dan diproses oleh klien Outlook. Hal ini dapat menyebabkan eksploitasi SEBELUM email dilihat di Panel Pratinjau,” kata Microsoft dalam penasihat keamanan yang diterbitkan Hari ini.
“Koneksi ke server SMB jarak jauh mengirimkan pesan negosiasi NTLM pengguna, yang kemudian dapat disampaikan oleh penyerang untuk otentikasi terhadap sistem lain yang mendukung otentikasi NTLM,” Redmond menjelaskan ditambahkan dalam posting blog terpisah.
CVE-2023-23397 memengaruhi semua versi Microsoft Outlook untuk Windows yang didukung, tetapi tidak memengaruhi versi Outlook untuk Android, iOS, atau macOS.
Selain itu, karena layanan online seperti Outlook di web dan Microsoft 365 tidak mendukung autentikasi NTLM, mereka tidak rentan terhadap serangan yang mengeksploitasi kerentanan relai NTLM ini.
Microsoft merekomendasikan segera menambal CVE-2023-23397 untuk mengurangi kerentanan ini untuk menggagalkan serangan yang masuk.
Perusahaan juga menyarankan untuk menambahkan pengguna ke grup Pengguna Terlindungi di Direktori Aktif dan memblokir SMB keluar (port TCP 445) jika penambalan tidak dapat segera dilakukan, yang dapat membatasi dampak CVE-2023-23397.
Skrip deteksi mitigasi dan penargetan tersedia
Microsoft mendesak pelanggan untuk segera menambal sistem mereka terhadap CVE-2023-23397 atau menambahkan pengguna ke grup Pengguna Terlindungi di Direktori Aktif dan memblokir SMB keluar (port TCP 445) sebagai mitigasi sementara untuk meminimalkan dampak serangan.
Redmond juga merilis skrip PowerShell khusus untuk membantu admin memeriksa apakah ada pengguna di lingkungan Exchange mereka yang telah ditargetkan menggunakan kerentanan Outlook ini.
Itu “memeriksa item perpesanan Exchange (email, kalender, dan tugas) untuk melihat apakah properti diisi dengan jalur UNC,” Microsoft kata.
“Jika diperlukan, admin dapat menggunakan skrip ini untuk membersihkan properti dari item yang berbahaya atau bahkan menghapus item secara permanen.”
Skrip ini juga memungkinkan pengubahan atau penghapusan pesan yang berpotensi berbahaya jika ditemukan di Server Exchange yang diaudit saat dijalankan dalam mode Pembersihan.
