Microsoftov tim za Threat Intelligence objavio je ranije danas upozorenje o ruskom državnom sponzorisanom hakeru APT28 (aka “Fancybear” ili “Strontium”) koji aktivno iskorištava propust CVE-2023-23397 Outlooka za otmicu Microsoft Exchange naloga i krađu osjetljivih informacija.
Ciljani subjekti uključuju vladu, energetiku, transport i druge ključne organizacije u Sjedinjenim Državama, Evropi i na Bliskom istoku.
Tehnološki gigant je takođe istakao iskorištavanje drugih ranjivosti sa javno dostupnim eksploatacijama u istim napadima, uključujući CVE-2023-38831 u WinRAR-u i CVE-2021-40444 u Windows MSHTML-u.
Pozadina iskorištavanja mana u Outlooku
CVE-2023-23397 je kritična ranjivost povećanja privilegija (EoP) u Outlooku na Windowsu, koju je Microsoft popravio kao zero-day u Path Tuesday-u za mart 2023.
Otkrivanje greške došlo je s otkrićem da je APT28 iskorištava od aprila 2022. putem posebno kreiranih Outlook bilješki dizajniranih za krađu NTLM heševa, prisiljavajući ciljne uređaje da se autentifikuju na SMB dionice koje kontroliše napadač bez potrebe za interakcijom korisnika.
Podižući njihove privilegije na sistemu, što se pokazalo nekomplikovanim, APT28 je izvršio bočno kretanje u okruženju žrtve i promijenio dozvole Outlook poštanskog sandučeta kako bi izvršio ciljanu krađu e-pošte.
Uprkos dostupnosti bezbjednosnih ažuriranja i preporuka za ublažavanje, površina napada je ostala značajna, a zaobilaženje popravke (CVE-2023-29324) koja je usledila u maju je pogoršala situaciju.
Recorded Future upozorio je u junu da je APT28 vjerovatno iskoristio propust Outlooka protiv ključnih ukrajinskih organizacija. U oktobru je francuska agencija za kibernetičku sigurnost (ANSSI) otkrila da su ruski hakeri koristili zero-click napad na vladine subjekte, preduzeća, univerzitete, istraživačke institute i think tankove u Francuskoj.
Napadi i dalje traju
Najnovije upozorenje Microsofta naglašava da GRU hakeri i dalje koriste CVE-2023-38831 u napadima, tako da još uvijek postoje sistemi koji su i dalje ranjivi na kritičnu EoP grešku.
Tehnološka firma je također primijetila rad poljskog sajber komandnog centra (DKWOC) u pomaganju u otkrivanju i zaustavljanju napada. DKWOC je takođe objavio post koji opisuje APT28 aktivnost koja koristi CVE-2023-38831.
Preporučena radnja koju treba odmah preduzeti, navedena po prioritetu, je sljedeća:
- Primijenite dostupna sigurnosna ažuriranja za CVE-2023-23397 i zaobiđite CVE-2023-29324.
- Koristite ovu skriptu od strane Microsofta da provjerite da li su neki Exchange korisnici ciljani.
- Resetujte lozinke kompromitovanih korisnika i omogućite MFA (višefaktorsku autentifikaciju) za sve korisnike.
- Ograničite SMB promet blokiranjem konekcija na portove 135 i 445 sa svih ulaznih IP adresa
- Onemogućite NTLM u svom okruženju.
S obzirom da je APT28 vrlo snalažljiva i prilagodljiva grupa hakera, najefikasnija odbrambena strategija je smanjenje površine napada na svim interfejsima i osiguranje da se svi softverski proizvodi redovno ažuriraju najnovijim sigurnosnim zakrpama.
Izvor: BleepingComputer