Poważna luka umożliwiająca podniesienie uprawnień (EoP) w programie Microsoft Outlook, która została ujawniona i załatana na początku tego tygodnia w Najnowsza aktualizacja Microsoft Patch Tuesdaybył prawdopodobnie wykorzystywany przez wspierane przez państwo rosyjskie ugrupowania cyberprzestępcze przeciwko ukraińskim celom przez co najmniej 12 miesięcy.
John Hultquist, kierownik ds Analiza Google Mandiant Intelligence, powiedział, że po jego publicznym ujawnieniu spodziewa się szerokiego i szybkiego przyjęcia CVE-2023-23397 przez wiele państw narodowych i podmioty motywowane finansowo, prawdopodobnie w tym gangi ransomware. Ostrzegł, że w nadchodzących dniach i tygodniach grupy te będą zaangażowane w wyścig, aby wykorzystać lukę, zanim zostanie załatana, aby zdobyć przyczółek w systemach docelowych. Computer Weekly rozumie, że exploity będące dowodem słuszności koncepcji już krążą.
„To kolejny dowód na to, że agresywne, destrukcyjne i destrukcyjne cyberataki mogą nie ograniczać się do Ukrainy i przypomnienie, że nie możemy zobaczyć wszystkiego” – powiedział. „Chociaż przygotowania do ataków niekoniecznie wskazują, że są one bliskie, sytuacja geopolityczna powinna nas zatrzymać.
„To także przypomnienie, że nie możemy widzieć wszystkiego, co dzieje się w tym konflikcie. To szpiedzy i mają długą historię skutecznego unikania naszej uwagi” – powiedział Hultquist. „To będzie impreza propagandowa. Jest to doskonałe narzędzie zarówno dla aktorów państw narodowych, jak i przestępców, którzy w krótkim okresie znajdą się na bonanzy. Wyścig już się rozpoczął”.
Eksploatacja CVE-2023-23397 zaczyna się od wysłania specjalnie spreparowanej wiadomości e-mail do ofiary, ale ponieważ jest uruchamiana po stronie serwera, może zostać wykorzystana przed otwarciem i wyświetleniem wiadomości e-mail.
Ta wiadomość e-mail została utworzona przy użyciu rozszerzonej właściwości Messaging Application Programming Interface, zawierającej ścieżkę Universal Naming Convention do udziału SMB (Server Message Block) na serwerze kontrolowanym przez osobę atakującą.
Po otrzymaniu tej wiadomości e-mail otwiera się połączenie z udziałem SMB atakującego, a protokół uwierzytelniania Windows New Technology LAN Manager ofiary wysyła wiadomość negocjacyjną. To z kolei może zostać zauważone i wykorzystane przez atakującego do odkrycia hasha Net-NTLMv2 ofiary, wyodrębnienia go i przekazania do innych systemów w środowisku ofiary, uwierzytelniając się przed nim jako zaatakowany użytkownik bez konieczności posiadania jego danych uwierzytelniających .
W ten sposób atakujący nie tylko zyskuje przyczółek w docelowym środowisku, ale jest w stanie rozpocząć ruch boczny. Mandiant uważa to za lukę wysokiego ryzyka, ponieważ można jej użyć do podniesienia uprawnień bez interakcji użytkownika.
Został odkryty przez narodowy zespół reagowania na incydenty komputerowe (CERT) Ukrainy, CERT-UAwraz z badaczami z Microsoftu, i według Mandianta, w ubiegłym roku był szeroko wykorzystywany przez Rosję do atakowania organizacji i infrastruktury krytycznej na Ukrainie w celu zbierania danych wywiadowczych oraz destrukcyjnych i destrukcyjnych ataków na kraj.
Mandiant widział go również w atakach na cele w sektorach obronnym, rządowym, naftowym i gazowym, logistycznym i transportowym w Polsce, Rumunii i Turcji.
Zespół badawczy Mandiant stworzył nowe oznaczenie – UNC4697 – w celu śledzenia wykorzystania dnia zerowego, które jest powszechnie przypisywane APT28, zaawansowanej grupie uporczywych zagrożeń wspieranej przez rosyjską agencję wywiadowczą GRU, znaną również jako fantazyjny niedźwiedź lub Stront. Jest to znany ugrupowanie cyberprzestępcze, wcześniej zamieszane w rosyjskie ataki na Międzynarodowy Komitet Olimpijski i jego organizację Wybory prezydenckie w USA w 2016 i 2020 roku. Często współpracuje z Aktor GRU Sandworm.