Em resposta a uma vulnerabilidade recente identificada no Outlook, a Microsoft publicou recentemente um guia adequado para seus clientes para ajudá-los a descobrir os IoCs associados.
A vulnerabilidade do Outlook em questão foi rastreada como “CVE-2023-23397” com uma pontuação CVSS de 9.8 e marcado como Crítico.
Como resultado dessa falha, os hashes NTLM podem ser roubados e, sem qualquer interação do usuário, podem ser reutilizados para executar um ataque de retransmissão.
Os agentes da ameaça usam e-mails maliciosos especialmente criados para explorar a vulnerabilidade e manipular a conexão da vítima. Como resultado, isso permite que eles obtenham o controle de um local não confiável.
O invasor pode se autenticar como vítima com o hash Net-NTLMv2 vazado para a rede não confiável.
Microsoft corrigiu a falha
No Atualizações do Patch Tuesday para março de 2023a Microsoft corrigiu a vulnerabilidade para evitar a possibilidade de novos ataques.
O problema é que esta abordagem foi adotada depois de ter sido transformada em arma por agentes de ameaças russos e usada como arma contra os seguintes setores na Europa:
- Governo
- Transporte
- Energia
- Militares
Foi relatado em abril de 2022 que a equipe de resposta a incidentes da Microsoft encontrou evidências de que a lacuna poderia ser explorada.
Cadeia de ataque e orientação sobre caça a ameaças
Foi identificado que um ataque de retransmissão Net-NTLMv2 permitiu que um agente de ameaça obtivesse entrada não autorizada em um Exchange Server em uma cadeia de ataque.
Ao explorar esta vulnerabilidade, o invasor pode modificar as permissões das pastas da caixa de correio e manter o acesso persistente, representando um risco de segurança significativo.
O adversário usou a conta de e-mail comprometida no ambiente comprometido para estender o acesso. Foi descoberto que isso é feito através do envio de mensagens maliciosas adicionais através da mesma organização para outros membros.
CVE-2023-23397 pode levar ao comprometimento de credenciais nas organizações se elas não implementarem uma estratégia abrangente de caça a ameaças.
Como primeira etapa, executar o script de verificação do Exchange fornecido pela Microsoft é importante para detectar qualquer atividade maliciosa. No entanto, é imperativo observar que, para todos os cenários, esse script não é capaz de fornecer qualquer visibilidade sobre mensagens de natureza maliciosa.
Várias caixas de correio podem ser abertas ao mesmo tempo pelos usuários do Outlook. As mensagens recebidas por meio de um dos outros serviços ainda acionarão a vulnerabilidade se um usuário configurar o Outlook para abrir caixas de correio de vários serviços. As caixas de correio verificadas não contêm essa mensagem.
Se um usuário desejar mover uma mensagem para um arquivo local, ele poderá fazê-lo. Encontrar evidências de um comprometimento anterior nas mensagens arquivadas pode ser possível em alguns casos.
Você não poderá mais acessar suas mensagens do Exchange se elas tiverem sido excluídas do Exchange. Recomenda-se que os responsáveis pela resposta a incidentes revejam a telemetria de segurança recolhida de todos os canais disponíveis para confirmar a presença de endereços IP e URIs obtidos a partir dos valores PidLidReminderFileParameter.
Existem várias fontes de dados que podem ser usadas para coletar dados, incluindo: –
- Registros de firewall
- Registros de proxy
- Logs de entrada do Azure Active Directory para usuários do Exchange Online
- Logs do IIS para Exchange Server
- Registros de VPN
- Registros do gateway RDP
- Telemetria de endpoint de detecção e resposta de endpoint (EDR)
- Dados de endpoint forense
Recomendações
Aqui abaixo mencionamos todas as recomendações: –
- Para atenuar o problema, atualize o Microsoft Outlook imediatamente.
- Garanta que as mitigações de defesa profunda estejam ativas em organizações que utilizam o Microsoft Exchange Server localmente.
- O script deve ser usado para remover as mensagens ou apenas as propriedades se forem observados valores de lembrete suspeitos ou maliciosos.
- Caso um usuário visado ou comprometido receba lembretes suspeitos ou inicie atividades de resposta a incidentes, ele deverá ser instruído a redefinir suas senhas.
- Para mitigar o impacto de possíveis ataques de retransmissão Net-NTLMv2, é recomendável usar a autenticação multifator.
- No Exchange, você deve desabilitar serviços desnecessários que não precisa.
- Bloqueie todos os endereços IP, exceto aqueles em uma lista de permissões, de solicitar conexões nas portas 135 e 445.
- Se o seu ambiente tiver NTLM habilitado, você deverá desabilitá-lo.
Cobertura Relacionada
