Rus bilgisayar korsanları Polonyalı kuruluşları hedeflemek için eski Outlook güvenlik açığını kullanıyor (CVE-2023-23397)

Polonya Siber Komutanlığı, Rus devlet destekli bilgisayar korsanlığı grubu Forest Blizzard’ın (aka Fancy Bear, namı diğer APT28) Polonya’daki kamu ve özel kuruluşları hedef almak için bilinen bir Microsoft Outlook güvenlik açığını (CVE-2023-23397) kullandığı konusunda uyardı.

E-posta hesaplarının güvenliğinin ihlal edilmesi ve bunlara erişimin sürdürülmesi

APT28’in ABD, Avrupa ve Orta Doğu’daki hükümet, sivil toplum, enerji ve ulaştırma kuruluşlarını hedef aldığı biliniyor.

En son saldırılar, Polonya Ulusal Araştırma Enstitüsü’nün (CSIRT NASK) bilgisayar güvenliği olay müdahale ekibi tarafından tespit edildi ve rapor edildi.

Saldırılar, tehdit aktörlerinin Microsoft Exchange sunucularındaki e-posta hesaplarına erişim sağladığını ve kurbanın posta kutusundaki klasör izinlerini değiştirdiğini doğrulayan Polonya Siber Komutanlığı tarafından daha ayrıntılı olarak analiz edildi.

“Düşman için yüksek değerli bilgi hedefleri olan posta kutularındaki klasör izinleri değiştirildi. Bu değişikliğin bir sonucu olarak, saldırgan, Exchange Web Hizmetleri (EWS) protokolünü kullanarak Exchange organizasyonundaki ele geçirilen herhangi bir e-posta hesabı aracılığıyla yüksek değerli bilgi posta kutularının kaynaklarına yetkisiz erişim elde edebildi,” Polonya Siber Komutanlığı açıkladı ve değişikliklerin, saldırganların posta kutusunun içeriğine doğrudan erişimi kaybettikten sonra bile yetkisiz erişimi sürdürmelerine olanak tanıdığını belirtti.

APT28, Polonya’daki kuruluşları gözetlemek için CVE-2023-23397’den yararlanıyor

APT28 ilk etapta e-posta hesaplarına nasıl erişim sağladı? Polonya Siber Komutanlığı, kaba kuvvet saldırıları yoluyla ya da CVE-2023-23397’yi kullanarak bunu tespit etti.

CVE-2023-23397 Windows için Microsoft Outlook’u etkileyen kritik bir ayrıcalık yükselmesi güvenlik açığıdır. Mart 2023’te Microsoft tarafından yama uygulandı ancak şirketin Olay Müdahale ekibinin söylediği gibi, “Nisan 2022 gibi erken bir tarihte bu güvenlik açığından yararlanılabileceğine dair kanıtlar var.”

Yamanın yayınlandığı tarihte, CVE-2023-23397’nin Rusya merkezli bir tehdit aktörü tarafından “hükümet, ulaşım, enerji ve benzeri alanlardaki sınırlı sayıda kuruluşa yönelik hedefli saldırılarda sıfır gün” olarak kullanıldığı biliniyordu. ve Avrupa’daki askeri sektörler.

CVE-2023-23397, hedefe hatırlatmayı tetikleyen özel hazırlanmış bir e-posta mesajı gönderilerek kullanılabilir.

“Kullanıcının mesajla etkileşimde bulunmasına gerek yok: Hatırlatıcı tetiklendiğinde Windows’ta Outlook açıksa, bu istismara izin veriyor. Uzak SMB sunucusuna bağlantı, kullanıcının Net-NTLMv2 karmasını bir anlaşma mesajıyla gönderir; tehdit aktörü bunu a) NTLMv2 kimlik doğrulamasını destekleyen diğer sistemlere karşı kimlik doğrulama için aktarabilir veya b) şifreyi çıkarmak için çevrimdışı kırma gerçekleştirebilir. açıkladı.

CVE-2023-23397’den yeniden yararlanılabilmesi için başka bir güvenlik açığına yönelik yamanın atlanabileceği), hala yama yapılmamış ve savunmasız sistemlerin olduğu açıktır.

İstismar edilen ek güvenlik açıkları

Mart ayı sonlarında Microsoft yayınlanan ayrıntılı azaltımlar, risk göstergeleri ve bir şirketin CVE-2023-23397’yi kullanan saldırganlar tarafından ele geçirilip geçirilmediğini belirlemeye yönelik yöntemler ve bu tavsiye hala geçerlidir.

Polonya Siber Komutanlığı tedarik edilen Kuruluşların Microsoft Exchange sunucuları içindeki olası şüpheli posta kutusu klasör paylaşımını tespit etmek için kullanabileceği bir araç seti ve güvenlik ihlalinden şüphelenildiğinde ne yapılması gerektiğine ilişkin öneriler ve yönergelerin bir listesi.

Düşmanın çok yönlü olduğunu ve Microsoft Exchange posta sisteminin mimarisi ve mekanizmaları hakkında kapsamlı bilgiye sahip olduğunu değerlendiriyorlar.

Saldırganlar ayrıca saldırı trafiğini harmanlamak için ticari VPN hizmetlerini de kullandı ve farklı hedefleri vururken IP adreslerini değiştirdi.

“Siber güvenlik sistemleri tarafından tespit edilebilecek herhangi bir saldırı aracının kasıtlı olarak kullanılmasından kaçınılması nedeniyle bu tür bir saldırının tanımlanması zordur” dediler ve “özel bir tespit oluşturmak, varsayılan olarak kaydedilen olay günlüklerinin analizini gerektirir.”

CVE-2023-23397, APT28 saldırganlarının istismar ettiği tek “eski” güvenlik açığı değil: Microsoft’un Tehdit İstihbaratı ekibi diyor Grubun hala bilinen kamu istismarlarından yararlandığını CVE-2023-38831 Ve CVE-2021-40444 düzeltmeler bir süredir mevcut olmasına rağmen.