Microsoft ระบุ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับการโจมตีจากช่องโหว่ของ Outlook ที่เพิ่งได้รับการแก้ไขไปเมื่อต้นเดือนมีนาคมที่ผ่านมา
โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-23397 (CVSS score: 9.8) เป็นช่องโหว่ระดับ Critical เกี่ยวกับการยกระดับสิทธิ์ ซึ่งถูกใช้ในการโจมตีเพื่อขโมย NT Lan Manager (NTLM) hashes โดยไม่ต้องมีการดำเนินการใด ๆ จากผู้ใช้งาน
ช่องโหว่นี้จะทำให้ Net-NTLMv2 hash ของเหยื่อถูกขโมยออกไป ซึ่งผู้โจมตีสามารถนำไปใช้กับบริการอื่น ๆ เพื่อใช้ในการยืนยันตัวตนได้
ปัจจุบันช่องโหว่ดังกล่าวได้ถูกแก้ไขไปแล้วในการอัปเดต Patch Tuesday ของเดือนมีนาคม 2023 แต่พบว่าก่อนที่จะมีการแก้ไขช่องโหว่ดังกล่าว กลุ่มผู้โจมตีจากรัสเซียได้ใช้ช่องโหว่ดังกล่าวในการโจมตีรัฐบาล, บริษัทด้านการขนส่ง, ด้านพลังงาน, และด้านการทหารของกลุ่มประเทศในทวีปยุโรป
ทีม incident response ของ Microsoft ระบุว่า พบหลักฐานของการใช้ช่องโหว่ดังกล่าวในการโจมตีตั้งแต่ช่วงต้นเดือนเมษายน 2022
โดย Microsoft ระบุว่า การโจมตีแบบ Net-NTLMv2 Relay ทำให้ผู้โจมตีสามารถเข้าถึง Exchange Server โดยไม่ได้รับอนุญาต และแก้ไขสิทธิ์ของโฟลเดอร์เพื่อใช้ในการเข้าถึง mailbox ได้อย่างสมบูรณ์
การโจมตีด้วยวิธีดังกล่าว บัญชีอีเมลที่ถูกโจมตีจะถูกใช้เพื่อขยายการเข้าถึงระบบของเหยื่อ โดยสามารถถูกใช้เพื่อส่งอีเมลที่เป็นอันตรายไปให้ผู้ใช้งานรายอื่น ๆ ในองค์กร
องค์กรควรทำการตรวจสอบ SMB Client event logging, Process Creation events และตรวจสอบข้อมูลบนเครือข่ายที่มีอยู่ เพื่อค้นหาความเสี่ยงที่อาจเกิดขึ้นจากช่องโหว่ CVE-2023-23397
โดยปัจจุบัน Cybersecurity and Infrastructure Security Agency (CISA) ได้เปิดตัวเครื่องมือที่ช่วยตรวจจับเหตุการณ์ที่เป็นอันตรายใน Microsoft cloud environments ที่ชื่อว่า Untitled Goose Tool เพื่อช่วยในการวิเคราะห์ ตรวจสอบความถูกต้อง และรวบรวมข้อมูลบน Microsoft Azure, Azure Active Directory และ Microsoft 365 environments
โดยช่วงต้นปีที่ผ่านมา Microsoft แจ้งเตือนลูกค้าให้ทำการอัปเดต Exchange servers ภายในองค์กรอยู่เสมอ และดำเนินการเสริมความปลอดภัยในเครือข่าย เพื่อลดความเสี่ยงจากการถูกโจมตี
ที่มา : thehackernews