Ataques cibernéticos continuam a explorar vulnerabilidade crítica do Outlook: CVE-2023-23397

Ataques cibernéticos conhecidos como APT28 (também conhecidos como "Fancybear" ou "Strontium"), continuam a explorar a vulnerabilidade crítica CVE-2023-23397 do Outlook para sequestrar contas do Microsoft Exchange e roubar informações confidenciais. As entidades alvo incluem governos, energia, transporte e outras organizações importantes nos Estados Unidos, Europa e Oriente Médio.

Visão geral da vulnerabilidade

A CVE-2023-23397 é uma vulnerabilidade de elevação de privilégios (EoP) no Outlook para Windows, que a Microsoft corrigiu inicialmente em março de 2023. No entanto, a APT28 descobriu uma solução alternativa para o reparo, conhecida como CVE-2023-29324, e a está explorando desde maio de 2023.

Metodologia de ataque

A APT28 explora a vulnerabilidade do Outlook enviando notas do Outlook especialmente criadas para roubar hashes NTLM. Esses hashes permitem que os atacantes se autentiquem em compartilhamentos SMB controlados por invasores sem exigir interação do usuário. Uma vez que os atacantes tenham elevado seus privilégios, eles podem realizar movimentação lateral na rede da vítima e roubar dados confidenciais, incluindo e-mails.

Mitigando a exploração

1. A Microsoft lançou atualizações de segurança para corrigir a vulnerabilidade CVE-2023-23397. As organizações devem aplicar essas atualizações o mais rápido possível para mitigar o risco de ataques.
2. Adicionar usuários ao grupo Usuários Protegidos impede o uso de NTLM como um mecanismo de autenticação. Isso ajudará a impedir que a vulnerabilidade CVE-2023-23397 seja explorada.
3. Bloquear a saída TCP 445/SMB da sua rede ajudará a impedir que a vulnerabilidade CVE-2023-23397 seja explorada para enviar mensagens de autenticação NTLM para compartilhamentos de arquivos remotos.
4. Para organizações que utilizam o Microsoft Exchange Server local, aplicar as atualizações de segurança mais recentes ajudará a garantir que as mitigações de defesa profunda estejam ativas.
5. Se valores de lembrete suspeitos ou mal-intencionados forem observados, certifique-se de usar o script para remover as mensagens ou apenas as propriedades.
6. Para qualquer usuário visado ou comprometido, redefina as senhas de qualquer conta conectada a computadores dos quais o usuário recebeu lembretes suspeitos.
7. Usar a autenticação multifator ajudará a reduzir o impacto de possíveis ataques de retransmissão Net-NTLMv2.
8. Limitar o tráfego SMB bloqueando conexões nas portas 135 e 445 de todos os endereços IP de entrada, exceto aqueles em uma lista de permissões controlada.
9. Desativar o NTLM em seu ambiente ajudará a proteger contra uma variedade de vulnerabilidades, incluindo a CVE-2023-23397.

Conclusão

A vulnerabilidade CVE-2023-23397 é uma ameaça grave para as empresas que usam o Outlook. Os hackers russos estão ativamente explorando essa vulnerabilidade para sequestrar contas do Exchange e roubar informações confidenciais.

Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui