bencede
New member
Outlook’taki kritik bir güvenlik açığı, Microsoft tarafından Mart yama günü güncellemeleriyle kapatıldığında zaten saldırıya uğruyordu. Kısa bir süre sonra, BT araştırmacıları bir kavram kanıtı istismarı yayınladı. Siber suçlular bunu saldırılar için kullanabilir. Şimdi mevcut güncellemeleri uygulama zamanı.
Outlook: Güvenlik açığı ayrıcalık artışına izin verir
Yama günü itibarıyla güvenlik açığının açıklaması şöyleydi: Saldırganlar, CVE-2023-23397 güvenlik açığından yararlanarak bir kullanıcının Net-NTLMv2 sağlamasını elde edebilir. Bu, kurban olarak kimlik doğrulaması yapmak için başka bir hizmete yönelik bir NTLM geçiş saldırısında kullanılabilir. Güvenlik açığından yararlanmak için özel hazırlanmış bir e-posta göndermeniz yeterlidir. Outlook istemcisi alıp işlediğinde hatayı otomatik olarak oluşturur. Hata, e-posta önizleme penceresinde görüntülenmeden önce oluşur. Bu şekilde manipüle edilen bir e-posta, kurbandan saldırganın sunucusuna, kurbanın Net-NTLMv2 hash’inin saldırganlara ulaştığı bir bağlantıyı tetikleyebilir.
Microsoft, yöneticilerin Exchange sunucularını güvenlik açığından yararlanan kötü amaçlı olabilecek iletilere karşı taramak için kullanabilecekleri bir Powershell komut dosyası sağlamıştı. Microsoft, iletilerin gerçekten zararlı içeriğe sahip olup olmadığına karar vermeyi yöneticilere bırakıyor.
MDSec BT araştırmacıları, senaryoyu daha yakından incelediler ve özellikle sahiplik aradığını gördüler. PidLidReminderFileParameter haber aramaları Daha sonra bu bilgileri, güvenlik açığını gösteren kavram kanıtı istismarını türetmek için kullandılar. Bu, siber suçluların kötü amaçlı e-postalar oluşturmasını ve potansiyel kurbanlara saldırmasını kolaylaştırır. Güvenlik açığının siber saldırılarda kötüye kullanılma olasılığı önemli ölçüde arttı.
Gap uzun süre istismar edildi
Siber güvenlik firması deepinstinct ise bu güvenlik açığını kötüye kullanan birkaç saldırı gözlemledi. BT araştırmacıları, “Microsoft Tehdit İstihbaratı bulgularına göre, Rusya merkezli bir tehdit aktörü, programı Nisan ve Aralık 2022 arasında Avrupa’daki çeşitli hükümet, askeri, enerji ve ulaşım şirketlerinin ağlarını hedef alan ve bunlara saldıran saldırılarda kullandı” dedi.
Nisan-Mayıs 2022’de Romanya hedeflerine, Eylül-Kasım 2022’de Polonya’ya, Ekim 2022’de Ürdün’e, Kasım 2022’nin başlarında ve Aralık 2022’de Ukrayna’ya ve Aralık 2022’nin sonlarında Türkiye’ye yapılan saldırıların ardından, derin içgüdüye sahip BT araştırmacıları önceki saldırılara dair kanıtlara sahip olabilir. bölmek. 2020’de Palo Alto Networks tarafından keşfedilen saldırıların İranlı aktörlerden geldiğini ve muhtemelen bu güvenlik açığını da kötüye kullandığını yazıyorlar. Yani sadece Rus saldırganlar varsayılamaz.
BT yöneticileri, henüz yapmamışlarsa, Microsoft’tan güncellemeleri hızlı bir şekilde uygulamalıdır. Bir siber saldırının kurbanı olma riski, PoC’nin kullanılabilirliği ile önemli ölçüde artmıştır.
(dmk)
Haberin Sonu
Outlook: Güvenlik açığı ayrıcalık artışına izin verir
Yama günü itibarıyla güvenlik açığının açıklaması şöyleydi: Saldırganlar, CVE-2023-23397 güvenlik açığından yararlanarak bir kullanıcının Net-NTLMv2 sağlamasını elde edebilir. Bu, kurban olarak kimlik doğrulaması yapmak için başka bir hizmete yönelik bir NTLM geçiş saldırısında kullanılabilir. Güvenlik açığından yararlanmak için özel hazırlanmış bir e-posta göndermeniz yeterlidir. Outlook istemcisi alıp işlediğinde hatayı otomatik olarak oluşturur. Hata, e-posta önizleme penceresinde görüntülenmeden önce oluşur. Bu şekilde manipüle edilen bir e-posta, kurbandan saldırganın sunucusuna, kurbanın Net-NTLMv2 hash’inin saldırganlara ulaştığı bir bağlantıyı tetikleyebilir.
Microsoft, yöneticilerin Exchange sunucularını güvenlik açığından yararlanan kötü amaçlı olabilecek iletilere karşı taramak için kullanabilecekleri bir Powershell komut dosyası sağlamıştı. Microsoft, iletilerin gerçekten zararlı içeriğe sahip olup olmadığına karar vermeyi yöneticilere bırakıyor.
MDSec BT araştırmacıları, senaryoyu daha yakından incelediler ve özellikle sahiplik aradığını gördüler. PidLidReminderFileParameter haber aramaları Daha sonra bu bilgileri, güvenlik açığını gösteren kavram kanıtı istismarını türetmek için kullandılar. Bu, siber suçluların kötü amaçlı e-postalar oluşturmasını ve potansiyel kurbanlara saldırmasını kolaylaştırır. Güvenlik açığının siber saldırılarda kötüye kullanılma olasılığı önemli ölçüde arttı.
Gap uzun süre istismar edildi
Siber güvenlik firması deepinstinct ise bu güvenlik açığını kötüye kullanan birkaç saldırı gözlemledi. BT araştırmacıları, “Microsoft Tehdit İstihbaratı bulgularına göre, Rusya merkezli bir tehdit aktörü, programı Nisan ve Aralık 2022 arasında Avrupa’daki çeşitli hükümet, askeri, enerji ve ulaşım şirketlerinin ağlarını hedef alan ve bunlara saldıran saldırılarda kullandı” dedi.
Nisan-Mayıs 2022’de Romanya hedeflerine, Eylül-Kasım 2022’de Polonya’ya, Ekim 2022’de Ürdün’e, Kasım 2022’nin başlarında ve Aralık 2022’de Ukrayna’ya ve Aralık 2022’nin sonlarında Türkiye’ye yapılan saldırıların ardından, derin içgüdüye sahip BT araştırmacıları önceki saldırılara dair kanıtlara sahip olabilir. bölmek. 2020’de Palo Alto Networks tarafından keşfedilen saldırıların İranlı aktörlerden geldiğini ve muhtemelen bu güvenlik açığını da kötüye kullandığını yazıyorlar. Yani sadece Rus saldırganlar varsayılamaz.
BT yöneticileri, henüz yapmamışlarsa, Microsoft’tan güncellemeleri hızlı bir şekilde uygulamalıdır. Bir siber saldırının kurbanı olma riski, PoC’nin kullanılabilirliği ile önemli ölçüde artmıştır.
(dmk)
Haberin Sonu