Microsoft, kullanıcıların bir tehdit aktörünün Outlook e-postasında bulunan yakın zamanda yamalanan bir sıfır gün güvenlik açığından yararlanarak hassas verileri çalmaya çalışıp çalışmadığını belirlemesine yardımcı olacak yeni bir kılavuz yayınladı. (yeni sekmede açılır) müşteri.
Güvenlik açığı CVE-2023-23397 olarak izlenir ve Windows’ta bir ayrıcalık yükseltme güvenlik açığı olarak tanımlanır ve tehdit aktörlerinin, kurban uç noktanın kendi tarafında etkileşime girmeden NTLM karmalarını çalmasına izin verir. Saldırı, NTLM rölesi sıfır tıklama saldırısı olarak adlandırılır.
Tarlogic, NTLM karmalarını, Windows’un kullanıcı parolalarını depoladığı “şifreleme biçimleri” olarak tanımlar. Bu karmalar, Güvenlik Hesabı Yöneticisinde (SAM) veya bir etki alanı denetleyicisinin NTDS dosyasında depolanır. “Farklı iletişim protokolleri aracılığıyla bir kullanıcının kimliğini doğrulamak için kullanılan mekanizmanın temel bir parçasıdır” diyor.
Çoklu kullanım belirtileri
Kusurdan yararlanmak ve bu sağlamaları çalmak için bir tehdit aktörü, genişletilmiş MAPI özelliklerine sahip özel hazırlanmış bir mesaj gönderebilir. Bunlar, saldırgan tarafından kontrol edilen Sunucu İleti Bloğu (SMB) paylaşımlarına yönelik UNC yollarını (ağ kaynaklarına erişmek için kullanılan evrensel adlandırma kuralı yolları) içerecektir.
Şimdi, Microsoft’un yaptığına dönelim: Redmond yazılım devi, BT ekiplerinin analiz edebileceği birden çok istismar belirtisi olduğunu iddia ediyor: güvenlik duvarlarından, proxy’lerden, VPN araçlarından, RDP Ağ Geçidi günlüklerinden, Exchange Online kullanıcıları için Azure Active Directory oturum açma günlüklerinden alınan telemetri verileri veya Exchange Server için IIS Günlükleri.
Ayrıca Windows olay günlükleri veya uç nokta algılama ve yanıt çözümlerinden telemetri verileri gibi verileri de arayabilirler. Microsoft, tehdit aktörlerinin genellikle Exchange EWS/OWA kullanıcılarını hedefleyeceğini ve kendilerine kalıcı erişim sağlamak için posta kutusu klasörü izinlerini değiştirmeye çalışacağını, bunun da BT ekiplerinin arayabileceğini belirtti.
Microsoft Incident Response ekibi, “Bu güvenlik açığını gidermek için, postanızın nerede barındırıldığına (örneğin, Exchange Online, Exchange Server, başka bir platform) veya kuruluşunuzun NTLM kimlik doğrulama desteğine bakılmaksızın, Outlook güvenlik güncelleştirmesini yüklemeniz gerekir” dedi.
Son olarak şirket, yöneticilerin süreci otomatikleştirmesine ve herhangi bir Exchange kullanıcısının güvenliğinin ihlal edilip edilmediğini belirlemesine yardımcı olan bir komut dosyası da yayınladı.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)