Microsoft hari ini menerbitkan panduan terperinci yang bertujuan untuk membantu pelanggan menemukan tanda-tanda kompromi melalui eksploitasi kerentanan zero-day Outlook yang baru saja ditambal.
Dilacak sebagai CVE-2023-23397, kelemahan keamanan eskalasi hak istimewa ini di klien Outlook untuk Windows memungkinkan penyerang mencuri hash NTLM tanpa interaksi pengguna dalam serangan zero-click NTLM-relay.
Pelaku ancaman dapat mengeksploitasinya dengan mengirimkan pesan dengan properti MAPI yang diperluas yang berisi jalur UNC ke share SMB yang dikontrol penyerang.
Dalam laporan hari ini, Microsoft membagikan beberapa teknik untuk mengetahui apakah kredensial dikompromikan melalui eksploitasi CVE-2023-23397, serta langkah-langkah mitigasi untuk bertahan dari serangan di masa mendatang.
Sedangkan perusahaan juga merilis sebuah naskah untuk membantu admin memeriksa apakah ada pengguna Exchange yang menjadi sasaran, Redmond mengatakan bahwa para pembela HAM harus mencari tanda-tanda eksploitasi lainnya jika pelaku ancaman telah membersihkan jejak mereka dengan menghapus pesan yang memberatkan.
Sumber indikator kompromi alternatif yang terkait dengan kelemahan Outlook ini termasuk telemetri yang diekstraksi dari berbagai sumber seperti firewall, proxy, VPN, dan log Gateway RDP, serta log masuk Azure Active Directory untuk pengguna Exchange Online, dan Log IIS untuk Exchange Server.
Tempat lain yang harus diperiksa oleh tim keamanan untuk tanda-tanda kompromi adalah data titik akhir forensik seperti log peristiwa Windows dan telemetri titik akhir dari solusi deteksi dan respons titik akhir (EDR) (jika tersedia).
Di lingkungan yang dikompromikan, indikator pasca-eksploitasi ditautkan ke penargetan pengguna Exchange EWS/OWA dan perubahan izin folder kotak surat berbahaya yang memungkinkan penyerang mendapatkan akses terus-menerus ke email korban.
langkah-langkah mitigasi CVE-2023-23397
Microsoft juga membagikan panduan tentang cara memblokir serangan di masa mendatang yang menargetkan kerentanan ini, mendesak organisasi untuk menginstal pembaruan keamanan Outlook yang baru dirilis.
“Untuk mengatasi kerentanan ini, Anda harus menginstal pembaruan keamanan Outlook, di mana pun email Anda dihosting (misalnya, Exchange Online, Exchange Server, beberapa platform lain) atau dukungan organisasi Anda untuk otentikasi NTLM,” tim Respons Insiden Microsoft dikatakan.
Langkah-langkah lain yang dapat dilakukan organisasi berisiko untuk mengurangi serangan dan perilaku pasca-eksploitasi tersebut meliputi:
- Untuk organisasi yang memanfaatkan Microsoft Exchange Server lokal, terapkan pembaruan keamanan terbaru untuk memastikan bahwa mitigasi kedalaman pertahanan aktif.
- Jika ditemukan nilai pengingat yang mencurigakan atau berbahaya, pastikan untuk menggunakan skrip untuk menghapus pesan atau hanya propertinya, dan pertimbangkan untuk memulai aktivitas respons insiden.
- Untuk setiap pengguna yang ditargetkan atau dikompromikan, atur ulang kata sandi akun mana pun yang masuk ke komputer tempat pengguna menerima pengingat yang mencurigakan dan mulai aktivitas respons insiden.
- Gunakan autentikasi multifaktor untuk mengurangi dampak potensi serangan Relay Net-NTLMv2. CATATAN: Ini tidak akan mencegah pelaku ancaman membocorkan kredensial dan meretasnya secara offline.
- Nonaktifkan layanan yang tidak diperlukan di Exchange.
- Batasi lalu lintas SMB dengan memblokir koneksi pada port 135 dan 445 dari semua alamat IP masuk kecuali yang ada di daftar izin terkontrol.
- Nonaktifkan NTLM di lingkungan Anda.
Dieksploitasi oleh peretas militer Rusia
CVE-2023-23397 telah di bawah eksploitasi aktif setidaknya sejak April 2022 dan digunakan untuk menembus jaringan setidaknya 15 organisasi pemerintah, militer, energi, dan transportasi di Eropa.
Sementara Microsoft secara terbuka mengaitkan serangan ini dengan “aktor ancaman yang berbasis di Rusia,” Redmond juga mengatakan dalam laporan analitik ancaman pribadi yang dilihat oleh BleepingComputer bahwa mereka percaya kelompok peretasan tersebut adalah APT28 (juga dilacak sebagai SRONTIUMSednit, Sofacy, dan Fancy Bear).
Pelaku ancaman ini sebelumnya telah dikaitkan dengan Direktorat Utama Staf Umum Angkatan Bersenjata Federasi Rusia (GRU), dinas intelijen militer Rusia.
Kredensial yang mereka curi dalam serangan ini digunakan untuk pergerakan lateral dan untuk mengubah izin folder kotak surat Outlook, sebuah taktik yang memungkinkan mereka mengekstraksi email dari akun tertentu.
“Sementara memanfaatkan hash NTLMv2 untuk mendapatkan akses tidak sah ke sumber daya bukanlah teknik baru, eksploitasi CVE-2023-23397 adalah novel dan diam-diam,” tambah tim Incident Response Microsoft.
“Bahkan ketika pengguna melaporkan pengingat yang mencurigakan pada tugas, tinjauan keamanan awal dari pesan, tugas, atau item kalender yang terlibat tidak menghasilkan deteksi aktivitas berbahaya. Selain itu, kurangnya interaksi pengguna yang diperlukan berkontribusi pada sifat unik dari kerentanan ini .”
