Microsoft cảnh báo về lỗ hổng tàng hình Outlook bị tin tặc Nga khai thác

www.tuoitre.vn -   28/03/2023 08:00:00 467

Microsoft vào thứ Sáu đã chia sẻ hướng dẫn để giúp khách hàng khám phá các dấu hiệu xâm phạm (IoC) liên quan đến lỗ hổng Outlook được vá gần đây.

Microsoft vào thứ Sáu đã chia sẻ hướng dẫn để giúp khách hàng khám phá các dấu hiệu xâm phạm (IoC) liên quan đến lỗ hổng Outlook được vá gần đây.

Được đánh dấu là CVE-2023-23397 (điểm CVSS: 9,8), lỗ hổng nghiêm trọng liên quan đến trường hợp leo thang đặc quyền có thể bị khai thác để đánh cắp các hàm băm NT Lan Manager (NTLM) và thực hiện một cuộc tấn công chuyển tiếp mà không yêu cầu bất kỳ tương tác nào của người dùng.

"Những kẻ tấn công bên ngoài có thể gửi các email được chế tạo đặc biệt sẽ gây ra kết nối từ nạn nhân đến một vị trí không đáng tin cậy dưới sự kiểm soát của những kẻ tấn công", công ty lưu ý trong một lời khuyên được phát hành trong tháng này.

"Điều này sẽ rò rỉ hàm băm Net-NTLMv2 của nạn nhân sang mạng không đáng tin cậy mà sau đó kẻ tấn công có thể chuyển tiếp sang dịch vụ khác và xác thực là nạn nhân."

Lỗ hổng đã được Microsoft khắc phục như một phần của bản cập nhật Bản vá Thứ Ba cho tháng 3 năm 2023, nhưng không phải trước khi các tác nhân đe dọa ở Nga vũ khí hóa lỗ hổng trong các cuộc tấn công nhắm vào chính phủ, giao thông vận tải, năng lượng và các lĩnh vực quân sự ở Châu Âu.

Nhóm ứng phó sự cố của Microsoft cho biết họ đã tìm thấy bằng chứng về khả năng khai thác lỗ hổng sớm nhất là vào tháng 4 năm 2022.

Trong một chuỗi tấn công được gã khổng lồ công nghệ mô tả, một cuộc tấn công Chuyển tiếp Net-NTLMv2 thành công đã cho phép tác nhân đe dọa có quyền truy cập trái phép vào Máy chủ Exchange và sửa đổi quyền thư mục hộp thư để có quyền truy cập liên tục.

Sau đó, tài khoản email bị xâm phạm được sử dụng để mở rộng quyền truy cập của kẻ thù trong môi trường bị xâm phạm bằng cách gửi các thư độc hại bổ sung nhắm mục tiêu đến các thành viên khác trong cùng một tổ chức.

Microsoft cho biết: “Mặc dù tận dụng các hàm băm NTLMv2 để giành quyền truy cập trái phép vào tài nguyên không phải là một kỹ thuật mới, nhưng việc khai thác CVE-2023-23397 là mới lạ và lén lút”.

"Các tổ chức nên xem lại nhật ký sự kiện SMBClient, sự kiện Tạo quy trình và phép đo từ xa mạng có sẵn khác để xác định khả năng khai thác thông qua CVE-2023-23397."

Tiết lộ được đưa ra khi Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) phát hành một công cụ ứng phó sự cố nguồn mở mới giúp phát hiện các dấu hiệu của hoạt động độc hại trong môi trường đám mây của Microsoft.

Cơ quan này cho biết, được đặt tên là Untitled Goose Tool, tiện ích dựa trên Python cung cấp "phương pháp xác thực và thu thập dữ liệu mới" để phân tích các môi trường Microsoft Azure, Azure Active Directory và Microsoft 365.

Đầu năm nay, Microsoft cũng kêu gọi khách hàng cập nhật máy chủ Exchange tại chỗ của họ cũng như thực hiện các bước để củng cố mạng của họ nhằm giảm thiểu các mối đe dọa tiềm ẩn.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Kaspersky hướng dẫn cách hạn chế rủi ro ...

05/07/2024 02:00:00 500
Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng ...

Kaspersky nhận định tình trạng lây nhiễm...

01/07/2024 02:00:00 1.082
Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã t...

TeamViewer phát hiện vi phạm bảo mật tro...

28/06/2024 08:00:00 951
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ ...

Lỗi thanh taskbar phát sinh từ các bản c...

28/06/2024 12:00:00 82
Theo xác nhận từ Microsoft và tài liệu chính thức, khách hàng bị ảnh hưởng không thể tương tác với t...

Apple vá lỗ hổng Bluetooth của AirPods c...

27/06/2024 08:00:00 874
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào t...

Copilot sẽ thành công nếu Microsoft thuy...

27/06/2024 12:00:00 99
Microsoft muốn biến Copilot trở thành Generative AI tiêu chuẩn để hỗ trợ khách hàng nhưng người dùng...
Xem thêm

LIÊN HỆ

Thông tin liên hệ