Microsoft แชร์เคล็ดลับในการตรวจจับการแสวงหาผลประโยชน์แบบ Zero-day บน Outlook

Microsoft shares tips on detecting Outlook zero-day exploitation

วันนี้ Microsoft ได้เผยแพร่คำแนะนำโดยละเอียดเพื่อช่วยให้ลูกค้าสามารถค้นพบสัญญาณของการบุกรุกผ่านการใช้ประโยชน์จากช่องโหว่ Zero-day ของแพตช์ Outlook ล่าสุดได้

โดยช่องโหว่ CVE-2023-23397 เป็นข้อบกพร่องด้านความปลอดภัยในการยกระดับสิทธิพิเศษนี้ใน Outlook client สำหรับ Windows ซึ่งช่วยให้ผู้โจมตีสามารถขโมย NTLM hashes ได้โดยไม่ต้องโต้ตอบกับผู้ใช้ในการโจมตีแบบ NTLM relay Zero-Click

ผู้โจมตีสามารถใช้ประโยชน์จากมันได้โดยการส่งข้อความที่มีคุณสมบัติ MAPI แบบขยายที่มีเส้นทาง UNC ไปยัง SMB ที่ควบคุมได้โดยผู้โจมตี

ในรายงานของวันนี้ Microsoft ได้แบ่งปันเทคนิคต่างๆ เพื่อค้นหาว่ามีข้อมูลประจำตัวถูกบุกรุกผ่านการเจาะระบบแบบ CVE-2023-23397 หรือไม่ รวมถึงมาตรการลดผลกระทบเพื่อป้องกันการโจมตีในอนาคต

ในขณะที่บริษัทยังออกสคริปต์เพื่อช่วยให้ผู้ดูแลระบบสามารถตรวจสอบได้ว่าผู้ใช้ Exchange รายใดตกเป็นเป้าหมายหรือไม่ โดย Redmond กล่าวว่าผู้ดูแลต้องมองหาสัญญาณอื่นๆ ของการแสวงหาประโยชน์ หากผู้คุกคามได้ลบร่องรอยของพวกเขาโดยการลบข้อความที่มีการกล่าวหาออก

แหล่งข้อมูลที่เกี่ยวข้องกับช่องโหว่ใน Outlook นี้รวมถึงการวัดและส่งข้อมูลทางไกลของแหล่งอื่นๆ เช่น ไฟร์วอลล์ พร็อกซี VPN และบันทึกเกตเวย์ RDP ตลอดจนบันทึกการลงชื่อเข้าใช้ Azure Active Directory สำหรับผู้ใช้ Exchange Online และบันทึก IIS สำหรับ Exchange เซิร์ฟเวอร์

สถานที่อื่นๆ ที่ทีมรักษาความปลอดภัยควรตรวจสอบเพิ่มเติมเพื่อหาสัญญาณของการโจมตี ได้แก่ ข้อมูลปลายทางนิติวิทยาศาสตร์ เช่น บันทึกเหตุการณ์ของ Windows และการวัด อีกทั้งการส่งข้อมูลทางไกลของจุดสิ้นสุด จากโซลูชัน endpoint detection and response (EDR)

ในสภาวะที่ถูกบุกรุกแล้ว สัญญาณที่เกี่ยวข้องกับการโจมตีหลังการเจาะระบบ จะเชื่อมโยงกับการเป้าหมายผู้ใช้ Exchange EWS/OWA และการเปลี่ยนแปลงสิทธิ์ของโฟลเดอร์กล่องจดหมายที่เป็นอันตราย จะช่วยให้ผู้โจมตีสามารถเข้าถึงอีเมลของเหยื่อได้อย่างต่อเนื่อง

มาตรการบรรเทาผลกระทบ CVE-2023-23397

นอกจากนี้ Microsoft ยังแชร์คำแนะนำเกี่ยวกับวิธีป้องกันการโจมตีในอนาคตที่มีเป้าหมายจากช่องโหว่นี้ โดยกระตุ้นให้องค์กรต่างๆ ติดตั้งการอัปเดตด้านความปลอดภัยของ Outlook ที่เพิ่งเปิดตัว

“เพื่อแก้ไขช่องโหว่นี้ คุณต้องติดตั้งการอัปเดตความปลอดภัยของ Outlook โดยไม่คำนึงว่าอีเมลของคุณโฮสต์อยู่ที่ไหน (เช่น Exchange Online, Exchange Server, แพลตฟอร์มอื่นๆ) หรือไม่ว่าองค์กรของคุณจะรองรับการตรวจสอบสิทธิ์โดยใช้ NTLM หรือไม่ก็ตาม” ทีม Microsoft Incident Response กล่าว

มาตรการอื่นๆ สำหรับองค์กรที่มีความสุ่มเสี่ยงสามารถใช้เพื่อลดการโจมตีดังกล่าวและพฤติกรรมหลังจากการเจาะระบบได้ ได้แก่:

สำหรับองค์กรที่ใช้งาน Microsoft Exchange Server ภายในองค์กร ให้อัปเดตความปลอดภัยล่าสุด เพื่อลดความเสี่ยงจากการโจมตีและการดำเนินการหลังการเจาะระบบ โดยใช้วิธีการป้องกันแบบ Defense-in-depth
เมื่อมีการสังเกตค่าการแจ้งเตือนที่น่าสงสัยหรือเป็นอันตราย ตรวจสอบให้แน่ใจว่าได้ใช้สคริปต์เพื่อลบข้อความหรือสิ่งอันตรายเหล่านั้นหรือยัง จากนั้นให้ดำเนินการตอบสนองเหตุการณ์ทันทีที่เห็นค่าการแจ้งเตือนที่น่าสงสัยหรือเป็นค่าที่ไม่ปกติ
สำหรับผู้ใช้ที่เป็นเป้าหมายหรือถูกบุกรุก ให้รีเซ็ตรหัสผ่านของบัญชีที่เข้าสู่ระบบที่ผู้ใช้ได้รับการเตือนที่น่าสงสัย และเริ่มดำเนินการตอบสนองต่อเหตุการณ์
ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยเพื่อลดผลกระทบของการโจมตีแบบ Net-NTLMv2 Relay ที่อาจเกิดขึ้น หมายเหตุ: การดำเนินการดังกล่าวไม่สามารถป้องกันการรั่วไหลของข้อมูลประจำตัวและการถอดรหัสออฟไลน์โดยผู้ใช้ที่โดนโจมตีได้
ปิดการใช้งานที่ไม่จำเป็นใน Exchange
จำกัดการรับส่งข้อมูล SMB โดยบล็อกการเชื่อมต่อบนพอร์ต 135 และ 445 จากที่อยู่ IP ขาเข้าทั้งหมด ยกเว้นที่อยู่ในรายการที่อนุญาตที่มีการควบคุม
ปิดใช้งาน NTLM ในองค์กรของคุณ

ถูกโจมตีโดยแฮ็กเกอร์ทหารรัสเซีย

CVE-2023-23397 ถูกโจมตีอย่างต่อเนื่องตั้งแต่เดือนเมษายน พ.ศ. 2565 และถูกใช้เพื่อเจาะเครือข่ายขององค์กรรัฐบาล, กองทัพ, พลังงาน และการขนส่งอย่างน้อย 15 แห่งในยุโรป
ในขณะที่ Microsoft เชื่อมโยงการโจมตีเหล่านี้กับ “ผู้คุกคามจากรัสเซีย” Redmond ยังกล่าวในรายงานการวิเคราะห์ภัยคุกคามส่วนตัวที่ BleepingComputer ให้เห็นว่าพวกเขาเชื่อว่ากลุ่มนี้คือ APT28 (เรียกอีกชื่อว่า STRONTIUM, Sednit, Sofacy และ Fancy Bear) .

กลุ่มผู้โจมตีรายนี้เคยถูกเชื่อมโยงกับกองอำนวยการหลักของเสนาธิการกองทัพแห่งสหพันธรัฐรัสเซีย (GRU) ซึ่งเป็นหน่วยข่าวกรองทางทหารของรัสเซีย

ข้อมูลประจำตัวที่พวกเขาขโมยในการโจมตีเหล่านี้ถูกใช้เพื่อเข้าควบคุม (lateral movement) และเปลี่ยนสิทธิ์ในโฟลเดอร์กล่องจดหมาย Outlook ซึ่งเป็นกลยุทธ์ที่ช่วยให้พวกเขาสามารถดึงอีเมลจากบัญชีเฉพาะได้

“การใช้ NTLMv2 hashes เพื่อเข้าถึงทรัพยากรโดยไม่ได้รับอนุญาตไม่ใช่เทคนิคใหม่ แต่การใช้ช่องโหว่ CVE-2023-23397 นั้นเป็นการโจมตีที่แปลกใหม่และซับซ้อน” ทีม Microsoft Incident Response กล่าวเสริม

“แม้ว่าเมื่อผู้ใช้งานจะรายงานการแจ้งเตือนที่น่าสงสัยเกี่ยวกับงานต่างๆ การตรวจสอบความปลอดภัยเบื้องต้นของข้อความ งาน หรือรายการในปฏิทินที่เกี่ยวข้อง ก็ไม่สามารถตรวจพบกิจกรรมที่เป็นอันตราย นอกจากนี้ การขาดการโต้ตอบที่จำเป็นใดๆ ของผู้ใช้ยังทำให้ช่องโหว่นี้เป็นลักษณะเฉพาะและไม่เหมือนใคร”

ที่มา: https://bit.ly/3AAvbtv