俄罗斯黑客利用 Outlook 漏洞劫持 Exchange 账户

安全
网络安全专家指出,鉴于 APT28 是一个“资源丰富”、适应性强的网络威胁攻击组织,常规网络防御措施很难起到效果,最有效的防御策略是减少所有接口的攻击面,并确保所有软件产品定期更新最新的安全补丁。

Bleeping Computer 网站消息,微软威胁情报团队近期发布警告称,疑似具有俄罗斯国家背景的网络攻击组织 APT28(又名 "Fancybear "或 "Strontium")正在积极利用 CVE-2023-23397 Outlook 漏洞,劫持微软 Exchange 账户并窃取敏感信息。

此外,微软威胁情报团队强调 APT28 在网络攻击活动中还利用了 WinRAR 中存在的 CVE-2023-38831 漏洞和 Windows MSHTML 中的 CVE-2021-40444 等公开安全漏洞,其瞄准的攻击目标主要包括美国、欧洲和中东的政府、能源、交通和其他重要组织。

Outlook 漏洞利用背景

CVE-2023-23397 是 Windows 上 Outlook 中一个关键权限提升 (EoP) 漏洞,APT28 威胁组织自 2022 年 4 月以来一直在利用该漏洞,通过特制的 Outlook 笔记窃取 NTLM 哈希值,迫使目标设备在不需要用户交互的情况下向攻击者控制的 SMB 共享进行身份验证。

不仅如此,APT28 威胁组织还通过提升系统权限(事实证明这并不复杂),在受害目标的环境中进行横向移动,并更改 Outlook 邮箱权限,从而实施有针对性的电子邮件盗窃。更糟糕的是,尽管后来提供了安全更新和缓解建议,但仍然存在很大的攻击面。

Recorded Future 在 6 月份警告说,APT28 威胁组织很可能利用 Outlook 漏洞攻击乌克兰的重要组织,10 月份,法国网络安全局(ANSSI)又披露俄罗斯黑客利用漏洞攻击了法国的政府实体、企业、大学、研究机构和智库。

网络攻击活动仍在持续进行中

微软发布最新警告表示,GRU 黑客仍在利用 CVE-2023-38831 安全漏洞进行网络攻击,因此仍有系统易受关键 EoP 漏洞的影响。此外,微软还提到波兰网络指挥中心(DKWOC)在帮助检测和阻止网络攻击方面所采取的措施,DKWOC 发布一篇文章,详细描述了 APT28 如何利用 CVE-2023-38831 安全漏洞,进行网络攻击活动。

强烈建议用户立即采取以下安全措施(按优先级排列):

  • 应用针对 CVE-2023-23397 及其旁路 CVE-2023-29324 的可用安全更新。
  • 使用 Microsoft 提供的此脚本检查是否有 Exchange 用户成为攻击目标。
  • 重置受攻击用户的密码,并为所有用户启用 MFA(多因素身份验证)。
  • 通过阻止所有入站 IP 地址与端口 135 和 445 的连接来限制 SMB 流量禁用环境中的 NTLM。

最后,网络安全专家指出,鉴于 APT28 是一个“资源丰富”、适应性强的网络威胁攻击组织,常规网络防御措施很难起到效果,最有效的防御策略是减少所有接口的攻击面,并确保所有软件产品定期更新最新的安全补丁。

参考文章:https://www.bleepingcomputer.com/news/microsoft/russian-hackers-exploiting-outlook-bug-to-hijack-exchange-accounts/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2014-10-15 14:22:11

2015-07-16 11:41:51

2023-03-13 22:23:30

2016-08-12 09:33:38

2022-04-10 23:48:32

勒索软件安全俄罗斯

2014-09-22 10:38:26

2015-09-11 09:53:27

2022-04-13 11:01:22

漏洞黑客网络攻击

2024-04-01 13:22:43

2024-03-27 14:48:44

2015-02-06 10:29:22

2012-07-19 09:21:18

2009-09-11 09:15:03

2022-03-29 13:41:30

加密货币漏洞日本

2017-02-14 21:15:48

2024-09-06 15:53:31

2011-11-21 12:38:30

2024-06-06 09:14:05

2020-04-25 14:06:04

BGP网络攻击泄露

2024-01-02 14:25:31

点赞
收藏

51CTO技术栈公众号