Firma Microsoft publikuje dziś również poprawki dla dwóch krytycznych luk zero-day, które były aktywnie wykorzystywane już w kwietniu 2022 r. Dwie wykorzystane luki to CVE-2023-23397 I CVE-2023-24880. CVE-2023-23397 to atak z podwyższonym poziomem uprawnień, który umożliwia tworzenie specjalnych wiadomości e-mail, które mogą zmusić urządzenie docelowe do łączenia się ze zdalnymi adresami URL i przesyłania skrótu Net-NTLMv2 konta Windows. CVE-2023-24880 to luka w zabezpieczeniach Windows SmartScreen, którą można wykorzystać do tworzenia plików wykonywalnych, które omijają ostrzeżenie zabezpieczeń Windows Mark of the Web.
Microsoft oświadcza, co następuje dla CVE-2023-23397:
„CVE-2023-23397 to krytyczna luka EoP w programie Microsoft Outlook, która jest wyzwalana, gdy osoba atakująca wysyła wiadomość z rozszerzoną właściwością MAPI ze ścieżką UNC do udziału SMB (TCP 445) na serwerze kontrolowanym przez cyberprzestępcę. Żaden użytkownik wymagana jest interakcja. Połączenie ze zdalnym serwerem SMB wysyła wiadomość negocjacyjną NTLM użytkownika, którą osoba atakująca może następnie przekazać w celu uwierzytelnienia w innych systemach obsługujących uwierzytelnianie NTLM. Zewnętrzni osoby atakujące mogą wysyłać specjalnie spreparowane wiadomości e-mail, które spowodują połączenie ofiary z zewnętrzna lokalizacja UNC kontrolowana przez atakujących. Spowoduje to wyciek hash Net-NTLMv2 ofiary do atakującego, który może następnie przekazać to do innej usługi i uwierzytelnić się jako ofiara.
CVE-2023-23397 został początkowo oflagowany przez CERT-UA (Computer Emergency Response Team of Ukraine) i ujawniony przez CERT-UA, Microsoft Incident i Microsoft Threat Intelligence. W ujawnieniu ten ostatni stwierdza:
„Microsoft Threat Intelligence ocenia, że cyberprzestępca z Rosji wykorzystał exploit załatany w CVE-2023-23397 w ukierunkowanych atakach na ograniczoną liczbę organizacji w sektorach rządowym, transportowym, energetycznym i wojskowym w Europie”.
Raport stwierdza również, że luka dotyczy wszystkich wersji programu Microsoft Outlook dla systemu Windows, jednak nie ma wpływu na programy Outlook dla komputerów Mac, iOS, Android ani Outlook w sieci Web, ponieważ usługi online nie wykorzystują uwierzytelniania NTLM. Microsoftu wydał scenariusz która pozwala organizacjom sprawdzić, czy padły celem ataku.
W odniesieniu do CVE-2023-24880 badacze Benoît Sevens i Vlad Stolyarov z Google Threat Analysis Group oraz Microsoft udostępniają:
„Kiedy pobierasz plik z Internetu, system Windows dodaje identyfikator strefy lub znak sieci Web (MOTW) jako strumień NTFS do pliku. Tak więc po uruchomieniu pliku Windows SmartScreen sprawdza, czy istnieje identyfikator strefy Dane alternatywne Strumień (ADS) dołączony do pliku Jeśli ADS wskazuje ZoneId=3, co oznacza, że plik został pobrany z Internetu, SmartScreen sprawdza reputację.
Osoby atakujące dostarczają pliki MSI podpisane nieprawidłową, ale specjalnie spreparowaną sygnaturą Authenticode. Zniekształcony podpis powoduje, że SmartScreen zwraca błąd, który powoduje pominięcie okna dialogowego ostrzeżenia bezpieczeństwa wyświetlanego użytkownikom, gdy niezaufany plik zawiera Mark-of-the-Web (MotW), który wskazuje, że potencjalnie złośliwy plik został pobrany z Internetu. TAG zaobserwował ponad 100 000 pobrań złośliwych plików MSI od stycznia 2023 r., z czego ponad 80% było pobieranych przez użytkowników w Europie – co jest zauważalną rozbieżnością w stosunku do typowych ataków Magnibera, które zwykle koncentrują się na Korei Południowej i Tajwanie”.
Pełny szczegółowy raport ujawnionych poprawek bezpieczeństwa na marzec 2023 r dostępne do przeglądania tutaj. Nie jest to do końca lekka lektura.