Microsoft corrige falha 0day em Outlook usado por hackers russos
2
0
A Microsoft corrigiu uma vulnerabilidade de 0day do Outlook CVE-2023-23397(https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397) explorada por um grupo de hackers vinculado ao serviço de inteligência militar da Rússia GRU para atingir organizações europeias.
A vulnerabilidade de segurança foi explorada em ataques para atingir e violar organizações governamentais, militares, de energia e transporte entre meados de abril e dezembro de 2022.
O grupo de hackers (rastreado como APT28, STRONTIUM, Sednit, Sofacy e Fancy Bear) enviou notas e tarefas maliciosas do Outlook para roubar hashes NTLM por meio de solicitações de negociação NTLM, forçando os dispositivos dos alvos a se autenticarem em compartilhamentos SMB controlados pelo invasor.
As credenciais roubadas foram usadas para movimentação lateral nas redes das vítimas e para alterar as permissões da pasta da caixa de correio do Outlook, uma tática que permitia a exfiltração de e-mail para contas específicas.
EoP crítico no Outlook para Windows
A vulnerabilidade (CVE-2023-23397) foi relatada pelo CERT-UA (Equipe de Resposta a Emergências de Computadores da Ucrânia) e é uma falha crítica de segurança de elevação de privilégio do Outlook que pode ser explorada sem interação do usuário em ataques de baixa complexidade.
Atores de ameaças podem explorá-lo enviando mensagens com propriedades MAPI estendidas contendo caminhos UNC para um compartilhamento SMB (TCP 445) sob seu controle.
“O invasor pode explorar essa vulnerabilidade enviando um e-mail especialmente criado que é acionado automaticamente quando é recuperado e processado pelo cliente Outlook. Isso pode levar à exploração ANTES de o e-mail ser visualizado no painel de visualização”, diz a Microsoft em um comunicado de segurança publicado hoje.
“A conexão com o servidor SMB remoto envia a mensagem de negociação NTLM do usuário, que o invasor pode retransmitir para autenticação em outros sistemas que suportam autenticação NTLM”, explica Redmond em uma postagem de blog separada.
CVE-2023-23397 afeta todas as versões com suporte do Microsoft Outlook para Windows, mas não afeta as versões do Outlook para Android, iOS ou macOS.
Além disso, como os serviços online como o Outlook na Web e o Microsoft 365 não oferecem suporte à autenticação NTLM, eles não são vulneráveis a ataques que exploram essa vulnerabilidade de retransmissão NTLM.
A Microsoft recomenda corrigir imediatamente o CVE-2023-23397 para atenuar essa vulnerabilidade e impedir qualquer ataque recebido.
A empresa também aconselha adicionar usuários ao grupo Protected Users no Active Directory e bloquear o SMB de saída (porta TCP 445) se o patch não for imediatamente possível, o que pode limitar o impacto do CVE-2023-23397.
Script de mitigação e direcionamento
A Microsoft pede aos clientes que corrijam imediatamente seus sistemas contra CVE-2023-23397 ou adicionem usuários ao grupo de usuários protegidos no Active Directory e bloqueiem o SMB de saída (porta TCP 445) como uma mitigação temporária para minimizar o impacto dos ataques.
Redmond também lançou um script PowerShell dedicado para ajudar os administradores a verificar se algum usuário em seu ambiente Exchange foi alvo dessa vulnerabilidade do Outlook, que pode ser encontrado em https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
Ele “verifica os itens de mensagens do Exchange (correio, calendário e tarefas) para ver se uma propriedade é preenchida com um caminho UNC”, diz a Microsoft.
“Se necessário, os administradores podem usar este script para limpar a propriedade de itens maliciosos ou até mesmo excluir os itens permanentemente.”
Este script também permite modificar ou excluir mensagens potencialmente maliciosas se forem encontradas no Exchange Server auditado quando executadas no modo de limpeza.
Além da vulnerabilidade do outlook foram identificadas nove vulnerabilidades críticas que permitem a execução remota de código, negação de serviço ou ataques de elevação de privilégios. Essas falhas de segurança são consideradas críticas porque podem permitir que um atacante controle remotamente o sistema afetado ou comprometa a integridade dos dados armazenados.
Os patches KB5023696 e KB5023697 do Windows 10 estão sendo lançados para tratar questões de sistema e segurança em várias versões do sistema operacional, incluindo o Windows Server 2016. Essas atualizações são obrigatórias e serão instaladas automaticamente por meio do Windows Update, a menos que o usuário tenha realizado uma instalação modificada ou bloqueada. Além disso, uma pequena correção de segurança e hiperlinks no Excel foi disponibilizada para o Windows 10 1507 por meio do patch KB5023713.
O número de bugs em cada categoria de vulnerabilidade é listado abaixo:
- 21 Vulnerabilidades de Elevação de Privilégio
- 2 Vulnerabilidades de Bypass de Recursos de Segurança
- 27 Vulnerabilidades de Execução Remota de Código
- 15 Vulnerabilidades de Divulgação de Informações
- 4 Vulnerabilidades de Negação de Serviço
- 10 Vulnerabilidades de Spoofing
- 1 Vulnerabilidade do Edge – Chromium
Manter o Windows Update ativo e configurado para atualizações automáticas é uma prática importante para garantir a segurança e o bom desempenho do seu computador.
Para ativar as atualizações automáticas no Windows, siga estes passos:
1 – Clique no botão “Iniciar” e selecione “Configurações”.
2 – Selecione “Atualização e Segurança”.
3 – Clique em “Windows Update”.
4 – Clique em “Opções avançadas”.
5 – Em “Escolha quando as atualizações serão instaladas”, selecione “Automático”.
A partir de agora, o Windows irá buscar por atualizações regularmente e instalá-las automaticamente, sem necessidade de intervenção do usuário.
Protected by WP Anti-Hacker