Редмонд серьёзно подошёл к устранению уязвимости и даже выпустил специальный скрипт для проверки факта компрометации.
Microsoft исправила уязвимость нулевого дня в Outlook под идентификатором Для просмотра ссылки Войди
Как сообщается, к атакам причастна группа хакеров, якобы связанная с российскими спецслужбами. Специалисты отслеживают группировку под разными названиями: APT28, STRONTIUM, Sednit, Sofacy или Fancy Bear. Согласно имеющейся информации, данные хакеры отправляли вредоносные заметки и задачи Outlook для кражи хэшей через запросы согласования NTLM, заставляя целевые устройства проходить аутентификацию на контролируемых злоумышленниками Для просмотра ссылки Войди
Украденные учётные данные использовались для горизонтального перемещения в сетях жертв и для изменения прав доступа к папкам почтовых ящиков Outlook. Эта тактика позволила осуществить эксфильтрацию электронной почты из учётных записей определённых сотрудников, работавших в критически важных отраслях.
«Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданное электронное письмо, которое срабатывает автоматически, когда оно извлекается и обрабатывается клиентом Outlook. При подключении к удаленному SMB-серверу от пользователя отправляется сообщение согласования NTLM, которое злоумышленник может затем передать для проверки подлинности в других системах, поддерживающих проверку подлинности NTLM», — объясняет Microsoft в Для просмотра ссылки Войди
Для просмотра ссылки Войди
Microsoft призывает клиентов немедленно применить выпущенное исправление уязвимости или добавить пользователей в группу «Защищенные пользователи» в Active Directory и заблокировать исходящий SMB (TCP-порт 445) в качестве временной меры для минимизации воздействия атак.
Редмонд также выпустил Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru