Η Microsoft διορθώνει την παράκαμψη για το σφάλμα μηδενικού κλικ του Outlook που διορθώθηκε πρόσφατα
Related Posts
Η Microsoft διόρθωσε μια ευπάθεια ασφαλείας αυτήν την εβδομάδα, η οποία θα μπορούσε να χρησιμοποιηθεί από απομακρυσμένους εισβολείς για να παρακάμψουν τις πρόσφατες ενημερώσεις κώδικα για ένα κρίσιμο ελάττωμα ασφαλείας μηδενικής ημέρας του Outlook που καταχράστηκε στη φύση.
Αυτή η παράκαμψη με μηδέν κλικ (
CVE-2023-29324
) επηρεάζει όλες τις υποστηριζόμενες εκδόσεις των Windows και αναφέρθηκε από τον ερευνητή ασφαλείας της Akamai, Ben Barnea.
“Όλες οι εκδόσεις των Windows επηρεάζονται από την ευπάθεια. Ως αποτέλεσμα, όλες οι εκδόσεις προγράμματος-πελάτη του Outlook στα Windows είναι εκμεταλλεύσιμες.”
εξήγησε ο Μπαρνέα
.
Το σφάλμα μηδενικής ημέρας του Outlook που επιδιορθώθηκε τον Μάρτιο (CVE-2023-23397) είναι ένα ελάττωμα κλιμάκωσης προνομίων στο πρόγραμμα-πελάτη του Outlook για Windows που επιτρέπει στους εισβολείς να κλέβουν κατακερματισμούς NTLM χωρίς αλληλεπίδραση χρήστη σε επιθέσεις αναμετάδοσης NTLM.
Οι φορείς απειλών μπορούν να το εκμεταλλευτούν στέλνοντας μηνύματα με εκτεταμένες ιδιότητες MAPI που περιέχουν διαδρομές UNC σε προσαρμοσμένους ήχους ειδοποιήσεων, προκαλώντας τη σύνδεση του προγράμματος-πελάτη του Outlook σε κοινόχρηστα στοιχεία SMB υπό τον έλεγχό τους.
Η Microsoft αντιμετώπισε το πρόβλημα συμπεριλαμβάνοντας μια κλήση MapUrlToZone για να διασφαλίσει ότι οι διαδρομές UNC δεν συνδέονται με διευθύνσεις URL στο Διαδίκτυο και αντικαθιστώντας τους ήχους με προεπιλεγμένες υπενθυμίσεις, εάν συνέβαιναν.
Παράκαμψη για κλιμάκωση προνομίου μηδενικού κλικ του Outlook
Κατά την ανάλυση του μετριασμού CVE-2023-23397, ο Barnea ανακάλυψε ότι η διεύθυνση URL στα μηνύματα υπενθύμισης θα μπορούσε να αλλάξει για να εξαπατήσει τους ελέγχους MapUrlToZone ώστε να αποδέχονται απομακρυσμένες διαδρομές ως τοπικές διαδρομές.
Αυτό παρακάμπτει την ενημέρωση κώδικα της Microsoft και προκαλεί τη σύνδεση του προγράμματος-πελάτη του Windows Outlook στον διακομιστή του εισβολέα.
«Αυτό το ζήτημα φαίνεται να είναι αποτέλεσμα της
πολύπλοκος χειρισμός μονοπατιών στα Windows
», εξηγεί ο Barnea.
Υπό το φως των ευρημάτων του Barnea, η Microsoft
προειδοποιεί
ότι “Οι πελάτες πρέπει να εγκαταστήσουν τις ενημερώσεις για CVE-2023-23397 και CVE-2023-29324 για να είναι πλήρως προστατευμένοι.”
Ενώ ο Internet Explorer έχει αποσυρθεί, η ευάλωτη πλατφόρμα MSHTML εξακολουθεί να χρησιμοποιείται από ορισμένες εφαρμογές μέσω του ελέγχου WebBrowser, καθώς και από τη λειτουργία Internet Explorer στον Microsoft Edge.
Εξαιτίας αυτού, το Redmond προτρέπει τους πελάτες να εγκαταστήσουν τόσο τις ενημερώσεις ασφαλείας αυτού του μήνα όσο και τις αθροιστικές ενημερώσεις IE που κυκλοφόρησαν για την αντιμετώπιση της ευπάθειας CVE-2023-29324 για να παραμείνουν πλήρως προστατευμένοι.
.png)
Εκμεταλλεύονται ρωσικοί κρατικοί χάκερ για κλοπή δεδομένων
Όπως αποκάλυψε η Microsoft σε μια ιδιωτική αναφορά ανάλυσης απειλών, το εκμεταλλεύτηκαν Ρώσοι κρατικοί χάκερ APT28 (γνωστοί και ως STRONTIUM, Sednit, Sofacy ή Fancy Bear) σε επιθέσεις εναντίον τουλάχιστον 14 κυβερνητικών, στρατιωτικών, ενεργειακών και μεταφορών οργανισμών μεταξύ των μέσων Απριλίου και Δεκέμβριος 2022.
Το APT28 έχει συνδεθεί με τη στρατιωτική υπηρεσία πληροφοριών της Ρωσίας, την Κύρια Διεύθυνση του Γενικού Επιτελείου των Ενόπλων Δυνάμεων της Ρωσικής Ομοσπονδίας (GRU).
Οι φορείς απειλών χρησιμοποίησαν κακόβουλες σημειώσεις και εργασίες του Outlook για να κλέψουν κατακερματισμούς NTLM, αναγκάζοντας τις συσκευές των στόχων τους να ελέγχουν ταυτότητα σε κοινόχρηστα στοιχεία SMB που ελέγχονται από τους εισβολείς.
Αυτά τα κλεμμένα διαπιστευτήρια χρησιμοποιήθηκαν για πλευρική μετακίνηση εντός των δικτύων των θυμάτων και για αλλαγή των αδειών γραμματοκιβωτίου του Outlook για την εξαγωγή email για συγκεκριμένους λογαριασμούς.
Microsoft
κυκλοφόρησε ένα σενάριο
για να βοηθήσουν τους διαχειριστές του Exchange να ελέγξουν εάν οι διακομιστές τους παραβιάστηκαν, αλλά τους συμβούλευσε επίσης να αναζητήσουν άλλα σημάδια εκμετάλλευσης εάν οι φορείς απειλών καθαρίσουν τα ίχνη τους.
