Microsoft hat nach eigenen Angaben Beweise dafür, dass russische APT-Akteure bereits im April 2022 einen gefährlichen Outlook-Zero-Day ausgenutzt haben, was Unternehmen dazu veranlasst, nach Anzeichen einer Kompromittierung zu suchen.
Microsoft hat nach eigenen Angaben Beweise dafür, dass russische APT-Akteure bereits im April 2022 eine gefährliche Outlook-Zero-Day-Schwachstelle ausgenutzt haben – eine Enthüllung, die es für Unternehmen umso wichtiger macht, nach Anzeichen für eine Gefährdung zu suchen.
Die Schwachstelle mit der Bezeichnung CVE-2023-23397 wurde als „bereits ausgenutzt“ eingestuft, als Redmond Anfang des Monats eine Korrektur bereitstellte, und Microsofts Experten für Zwischenfälle haben die Angriffe auf russische Hacker auf Regierungsebene zurückgeführt, die es auf Organisationen in Europa abgesehen hatten.
„Microsoft hat Beweise für eine mögliche Ausnutzung dieser Sicherheitslücke bereits im April 2022 gefunden“, so das Unternehmen in einer neuen Dokumentation, die Anleitungen für die Untersuchung von Angriffen im Zusammenhang mit der Outlook-Schwachstelle enthält.
Microsoft warnte, dass die Ausnutzung des kritischen Fehlers „nur sehr wenige forensische Artefakte hinterlässt, die in der traditionellen forensischen Endpunktanalyse entdeckt werden können“ und forderte die Verteidiger in den betroffenen Sektoren auf, „eine tiefgreifende und umfassende Strategie zur Bedrohungsjagd“ anzuwenden, um die nationalstaatlichen Hacking-Teams aufzuspüren.
Microsoft macht einen nicht identifizierten, in Russland ansässigen Hacker“ für die Angriffe verantwortlich, die eine begrenzte Anzahl von Organisationen in den Bereichen Regierung, Transport, Energie und Militär in Europa betrafen.
Um der Schwere des Problems Rechnung zu tragen, hat das Microsoft Security Response Center (MSRC) bereits eine Anleitung zur Schadensbegrenzung veröffentlicht und ein CVE-2023-23397-Skript zur Verfügung gestellt, das bei der Überprüfung und Bereinigung helfen soll, und nun geht das Unternehmen mit Tipps zur Bedrohungsjagd und Anleitungen für Verteidiger noch weiter.
Microsoft weist darauf hin, dass die Schwachstelle ein Net-NTLMv2-Hash-Leck auslöst, das für den Erstzugriff, den Zugriff auf Anmeldeinformationen und seitliche Bewegungen missbraucht wurde und sogar in kompromittierten Mailboxen bestehen bleibt.
Das Unternehmen empfiehlt Verteidigern, bei der Suche nach Infektionen im Zusammenhang mit der Sicherheitslücke in Outlook für Windows strategisch vorzugehen. Microsoft empfiehlt den Verteidigern:
– Überprüfung verdächtiger Nachrichten, Kalendereinträge oder Aufgaben mit Erinnerungen, die von Benutzern gemeldet wurden
– Untersuchen Sie die Netzwerkprotokollierung und die Aufzeichnung der Endpunkte auf Hinweise auf bekannte Atomic Indicators
– Suche in Exchange nach zugestellten Nachrichten mit dem Parameter PidLidReminderFileParameter
– Suche nach anomalem Verhalten basierend auf:
o NTLM-Authentifizierung mit nicht vertrauenswürdigen oder externen Ressourcen. Dies kann in der Exchange Server-Protokollierung, Microsoft Defender for Identity und Microsoft Defender for Endpoint-Telemetrie beobachtet werden.
o WebDAV-Verbindungsversuche durch Prozessausführungsereignisse.
o SMBClient-Ereignisprotokolleinträge.
o Firewall-Protokolle für verdächtige ausgehende SMB-Verbindungen
Microsoft hat außerdem ein CVE-2023-23397-Erkennungsskript bereitgestellt und fordert Unternehmen auf, die Ausgabe dieses Skripts zu überprüfen, um festzustellen, ob ein Angriff erfolgreich war.
Da diese Schwachstelle ausgenutzt werden könnte, BEVOR die E-Mail im Vorschaufenster angezeigt wird, wird den Sicherheitsteams in Unternehmen dringend empfohlen, die Bereitstellung dieses Updates zu priorisieren.