Microsoft donne des conseils pour détecter l’exploitation du jour zéro d’Outlook

Microsoft a publié aujourd’hui un guide détaillé visant à aider les clients à découvrir les signes de compromission par l’exploitation d’une vulnérabilité zero-day d’Outlook récemment corrigée.

Répertoriée sous le nom de CVE-2023-23397, cette faille de sécurité avec élévation de privilèges dans le client Outlook pour Windows permet aux attaquants de voler les hachages NTLM sans interaction de l’utilisateur dans les attaques par zéro-clic NTLM-relay.

Les acteurs de la menace peuvent l’exploiter en envoyant des messages avec des propriétés MAPI étendues contenant des chemins UNC vers des partages SMB contrôlés par l’attaquant.

Dans le rapport publié aujourd’hui, Microsoft présente plusieurs techniques permettant de découvrir si des informations d’identification ont été compromises par les exploits CVE-2023-23397, ainsi que des mesures d’atténuation permettant de se défendre contre de futures attaques.

L’entreprise a également publié un script pour aider les administrateurs à vérifier si des utilisateurs d’Exchange ont été ciblés, mais Redmond a indiqué que les défenseurs doivent rechercher d’autres signes d’exploitation si les acteurs de la menace ont nettoyé leurs traces en supprimant tous les messages incriminés.

Les autres sources d’indicateurs de compromission liées à cette faille Outlook comprennent la télémétrie extraite de sources multiples telles que les journaux de pare-feu, de proxy, de VPN et de passerelle RDP, ainsi que les journaux de connexion à Azure Active Directory pour les utilisateurs d’Exchange Online, et les journaux IIS pour Exchange Server.

Les équipes de sécurité devraient également rechercher des signes de compromission dans les données médico-légales des terminaux, telles que les journaux d’événements Windows et les données télémétriques des solutions de détection et de réponse (EDR) des terminaux (si elles sont disponibles).

Dans les environnements compromis, les indicateurs de post-exploitation sont liés au ciblage des utilisateurs Exchange EWS/OWA et aux modifications malveillantes des autorisations de dossiers de boîtes aux lettres permettant aux attaquants d’obtenir un accès permanent aux courriels des victimes.

Mesures d’atténuation de la CVE-2023-23397

Microsoft a également fourni des conseils sur la manière de bloquer les attaques futures ciblant cette vulnérabilité, en invitant les organisations à installer la mise à jour de sécurité Outlook récemment publiée.

Pour remédier à cette vulnérabilité, vous devez installer la mise à jour de sécurité Outlook, quel que soit l’endroit où votre courrier est hébergé (par exemple, Exchange Online, Exchange Server, une autre plateforme) ou la prise en charge de l’authentification NTLM par votre organisation”, a déclaré l’équipe de réponse aux incidents de Microsoft.

D’autres mesures peuvent être prises par les organisations à risque pour atténuer ces attaques et les comportements post-exploitation :

• Pour les organisations qui utilisent Microsoft Exchange Server sur site, appliquer les dernières mises à jour de sécurité pour s’assurer que les mesures d’atténuation de la défense en profondeur sont actives.
• Lorsque des valeurs de rappel suspectes ou malveillantes sont observées, veillez à utiliser le script pour supprimer soit les messages, soit uniquement les propriétés, et envisagez de lancer des activités de réponse aux incidents.
• Pour tout utilisateur ciblé ou compromis, réinitialisez les mots de passe de tout compte connecté aux ordinateurs pour lesquels l’utilisateur a reçu des rappels suspects et lancez des activités de réponse aux incidents.
• Utiliser l’authentification multifactorielle pour atténuer l’impact des attaques potentielles Net-NTLMv2 Relay. REMARQUE : cela n’empêchera pas un acteur menaçant de divulguer des informations d’identification et de les pirater hors ligne.
• Désactiver les services inutiles sur Exchange.
• Limiter le trafic SMB en bloquant les connexions sur les ports 135 et 445 à partir de toutes les adresses IP entrantes, à l’exception de celles figurant sur une liste d’autorisations contrôlée.
• Désactiver NTLM dans votre environnement.

Exploitée par des pirates militaires russes

CVE-2023-23397 est activement exploitée depuis au moins avril 2022 et a été utilisée pour pénétrer dans les réseaux d’au moins 15 organisations gouvernementales, militaires, énergétiques et de transport en Europe.

Alors que Microsoft a publiquement lié ces attaques à “un acteur de menace basé en Russie”, Redmond a également déclaré dans un rapport privé d’analyse des menaces vu par BleepingComputer qu’il pense que le groupe de pirates est APT28 (également traqué comme STRONTIUM, Sednit, Sofacy, et Fancy Bear).

Cet acteur de la menace a déjà été lié à la Direction principale de l’état-major général des forces armées de la Fédération de Russie (GRU), le service de renseignement militaire russe.

Les informations d’identification volées lors de ces attaques ont été utilisées pour des déplacements latéraux et pour modifier les autorisations des dossiers de boîtes aux lettres Outlook, une tactique qui leur a permis d’exfiltrer des courriels de comptes spécifiques.

“L’exploitation des hachages NTLMv2 pour obtenir un accès non autorisé à des ressources n’est pas une technique nouvelle, mais l’exploitation de la CVE-2023-23397 est inédite et furtive”, a ajouté l’équipe de réponse aux incidents de Microsoft.

“Même lorsque les utilisateurs ont signalé des rappels suspects sur des tâches, l’examen initial de la sécurité des messages, des tâches ou des éléments de calendrier concernés n’a pas permis de détecter l’activité malveillante. En outre, l’absence d’interaction requise de la part de l’utilisateur contribue à la nature unique de cette vulnérabilité.”