Microsoft memperbaiki kerentanan keamanan minggu ini yang dapat digunakan oleh penyerang jarak jauh untuk melewati patch terbaru untuk kelemahan keamanan kritis Outlook zero-day yang disalahgunakan secara liar.
Pintasan tanpa klik ini (CVE-2023-29324) memengaruhi semua versi Windows yang didukung dan dilaporkan oleh peneliti keamanan Akamai Ben Barnea.
“Semua versi Windows terpengaruh oleh kerentanan. Akibatnya, semua versi klien Outlook di Windows dapat dieksploitasi,” Barnea menjelaskan.
Bug zero-day Outlook yang ditambal pada bulan Maret (CVE-2023-23397) adalah kelemahan eskalasi hak istimewa di klien Outlook untuk Windows yang memungkinkan penyerang mencuri hash NTLM tanpa interaksi pengguna dalam serangan relai NTLM.
Pelaku ancaman dapat mengeksploitasinya dengan mengirimkan pesan dengan properti MAPI yang diperluas yang berisi jalur UNC ke suara notifikasi kustom, menyebabkan klien Outlook terhubung ke share SMB di bawah kendali mereka.
Microsoft mengatasi masalah ini dengan memasukkan panggilan MapUrlToZone untuk memastikan jalur UNC tidak tertaut ke URL internet dan mengganti suara dengan pengingat default jika ada.
Abaikan untuk eskalasi hak istimewa tanpa klik Outlook
Saat menganalisis mitigasi CVE-2023-23397, Barnea menemukan bahwa URL dalam pesan pengingat dapat diubah untuk mengelabui pemeriksaan MapUrlToZone agar menerima jalur jarak jauh sebagai jalur lokal.
Ini menghindari tambalan Microsoft dan menyebabkan klien Windows Outlook terhubung ke server penyerang.
“Masalah ini tampaknya merupakan hasil dari penanganan jalur yang rumit di Windows,” jelas Barnea.
Mengingat temuan Barnea, Microsoft memperingatkan bahwa “Pelanggan harus menginstal pemutakhiran untuk CVE-2023-23397 dan CVE-2023-29324 agar terlindungi sepenuhnya.”
Meskipun Internet Explorer telah dihentikan, platform MSHTML yang rentan masih digunakan oleh beberapa aplikasi melalui kontrol WebBrowser, serta mode Internet Explorer di Microsoft Edge.
Karena itu, Redmond mendesak pelanggan untuk menginstal pembaruan keamanan bulan ini dan pembaruan Kumulatif IE yang dirilis untuk mengatasi kerentanan CVE-2023-29324 agar tetap terlindungi sepenuhnya.
.png)
Dieksploitasi oleh peretas negara Rusia untuk pencurian data
Seperti yang diungkapkan Microsoft dalam laporan analitik ancaman pribadi, memang begitu dieksploitasi oleh peretas negara APT28 Rusia (alias SRONTIUMSednit, Sofacy, atau Fancy Bear) dalam serangan terhadap setidaknya 14 organisasi pemerintah, militer, energi, dan transportasi antara pertengahan April dan Desember 2022.
APT28 telah dikaitkan dengan dinas intelijen militer Rusia, Direktorat Utama Staf Umum Angkatan Bersenjata Federasi Rusia (GRU).
Pelaku ancaman menggunakan catatan dan tugas Outlook berbahaya untuk mencuri hash NTLM dengan memaksa perangkat target mereka mengautentikasi ke share SMB yang dikontrol penyerang.
Kredensial yang dicuri ini digunakan untuk pergerakan lateral dalam jaringan korban dan untuk mengubah izin kotak surat Outlook guna mengekstraksi email untuk akun tertentu.
Microsoft merilis sebuah naskah untuk membantu admin Exchange memeriksa apakah server mereka dilanggar tetapi juga menasehati mereka untuk mencari tanda-tanda eksploitasi lain jika pelaku ancaman membersihkan jejaknya.
