Новости Microsoft исправила уязвимость нулевого дня в Outlook, которую активно эксплуатировали целый год

[NewsMaker]

Редмонд серьёзно подошёл к устранению уязвимости и даже выпустил специальный скрипт для проверки факта компрометации.​

---

---

Microsoft исправила уязвимость нулевого дня в Outlook под идентификатором Для просмотра ссылки Войди или Зарегистрируйся . Как сообщается, уязвимость использовалась в атаках с целью взлома сетей около 15 правительственных, военных, энергетических и транспортных организаций в период с середины апреля по декабрь 2022 года.

Как сообщается, к атакам причастна группа хакеров, якобы связанная с российскими спецслужбами. Специалисты отслеживают группировку под разными названиями: APT28, STRONTIUM, Sednit, Sofacy или Fancy Bear. Согласно имеющейся информации, данные хакеры отправляли вредоносные заметки и задачи Outlook для кражи хэшей через запросы согласования NTLM, заставляя целевые устройства проходить аутентификацию на контролируемых злоумышленниками Для просмотра ссылки Войди или Зарегистрируйся -ресурсах.

Украденные учётные данные использовались для горизонтального перемещения в сетях жертв и для изменения прав доступа к папкам почтовых ящиков Outlook. Эта тактика позволила осуществить эксфильтрацию электронной почты из учётных записей определённых сотрудников, работавших в критически важных отраслях.

«Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданное электронное письмо, которое срабатывает автоматически, когда оно извлекается и обрабатывается клиентом Outlook. При подключении к удаленному SMB-серверу от пользователя отправляется сообщение согласования NTLM, которое злоумышленник может затем передать для проверки подлинности в других системах, поддерживающих проверку подлинности NTLM», — объясняет Microsoft в Для просмотра ссылки Войди или Зарегистрируйся об уязвимости.

Для просмотра ссылки Войди или Зарегистрируйся влияет на все поддерживаемые версии Microsoft Outlook для Windows, но не влияет на версии для Android, iOS или macOS. Кроме того, поскольку онлайн-службы, такие как веб-сайт Outlook или Microsoft 365, не поддерживают проверку подлинности NTLM, они неуязвимы для данных атак.

Microsoft призывает клиентов немедленно применить выпущенное исправление уязвимости или добавить пользователей в группу «Защищенные пользователи» в Active Directory и заблокировать исходящий SMB (TCP-порт 445) в качестве временной меры для минимизации воздействия атак.

Редмонд также выпустил Для просмотра ссылки Войди или Зарегистрируйся , чтобы помочь администраторам проверить, не были ли какие-либо пользователи в их среде Exchange атакованы этой уязвимостью Outlook. «При необходимости администраторы могут использовать этот скрипт для очистки свойства от вредоносных элементов или даже для безвозвратного удаления элементов», — заявляет Microsoft. Скрипт также позволяет изменять или удалять потенциально вредоносные сообщения, если они обнаружены на проверенном сервере Exchange при запуске в режиме очистки.