У Microsoft виявили вразливість, яку використовували проросійські хакери

Компанія Microsoft виправила вразливість нульового дня у поштовому клієнті Outlook під ідентифікатором CVE-2023−23 397. Як повідомляється, неполадка використовувалась при зломах сайтів 15-ти урядових, військових, енергетичних і транспортних організацій. Експлойти відбувалися з квітня по грудень 2022 року.

Як вияснили у компанії, до атак причетна група хакерів, яка пов’язана з російськими спецслужбами. Фахівці відстежують угруповання під різними назвами: APT28, STRONTIUM, Sednit, Sofacy або Fancy Bear.

«Зловмисник може скористатися цією вразливістю, надіславши спеціально створений електронний лист, який спрацьовує автоматично, коли його обробляє клієнт Outlook. Під час підключення до віддаленого SMB-сервера від користувача надсилається повідомлення про узгодження NTLM (протоколу аутентифікації, який використовується в ОС Windows для перевірки автентичності користувачів), яке зловмисник може потім передати для перевірки автентичності в інших системах, що підтримують NTLM», — пояснюють розробники Microsoft у своєму звіті.

Вразливість CVE-2023−23 397 впливає на всі підтримувані версії Microsoft Outlook для Windows, але не чинить шкоди версіям для Android, iOS або macOS. Оскільки онлайн-служби Outlook та Microsoft 365 не підтримують перевірку автентичності NTLM, вони невразливі для таких атак.

Microsoft вже виправила несправність і закликає клієнтів негайно приєднатися до групи «Захищені користувачі» в Active Directory, а також заблокувати TCP-порт 445 — це допоможе мінімізувати подальші ризики експлойтів.