Microsoft hat kürzlich entdeckt, dass die staatlich geförderte russische Hackergruppe APT28 („Fancybear“ oder „Strontium“) eine kritische Outlook-Schwachstelle ausnutzt, um Zugriff auf Microsoft Exchange-Konten zu erhalten und wichtige Informationen zu stehlen. Diese Empfehlung zu Cybersicherheitsbedrohungen befasst sich mit der Bedrohung und Empfehlungen zum Schutz davor.
Welcher Art ist die Bedrohung?
Bei der Sicherheitsschwachstelle mit der Bezeichnung CVE-2023-23397 handelt es sich um einen kritischen Escalation of Privilege (EoP)-Bug. Dieser ermöglicht es Angreifern, auf den Net-NTLMv2-Hash eines Benutzers zuzugreifen, um Relay-Angriffe gegen einen anderen Dienst durchzuführen und sich als legitime Benutzer auszugeben. APT28 nutzt dies seit April 2022 aus und verwendet speziell entworfene Outlook-Notizen, um NTLM-Hashes zu stehlen. Dies hat dazu geführt, dass sich das Zielgerät ohne Benutzerinteraktion bei vom Angreifer kontrollierten SMB-Freigaben authentifiziert.
Warum sollte man aufmerksam sein?
Hierbei handelt es sich um einen Fehler, der angeblich im März 2023 von Microsoft behoben wurde. Laut dem polnischen Cyberkommando (DKWOC) ist es das Ziel von APT28, sich Zugang zu Postfächern von öffentlichen und privaten Einrichtungen zu verschaffen. Nach dem Zugriff ändert APT28 dann die Ordnerberechtigungen im Postfach des Opfers und ändert die Standardberechtigungen der Gruppe „Standard“ in „Eigentümer“. Dies führt dazu, dass die Ordner mit dieser Berechtigung von jeder authentifizierten Person gelesen werden können, was es dem Bedrohungsakteur ermöglicht, wichtige Informationen zu extrahieren.
Wie hoch ist Risiko einer Exposition?
Microsoft hatte zuvor offengelegt, dass CVE-2023-23397 seit April 2022 von russischen Bedrohungsakteuren als Zero-Day-Schwachstelle bei früheren Angriffen auf Regierungs-, Transport-, Energie- und Militärsektoren in ganz Europa genutzt wurde. Im Juni 2023 deckte das Cybersicherheitsunternehmen Recorded Future eine von APT28 orchestrierte Spear-Phishing-Kampagne auf, die zahlreiche Schwachstellen in Roundcube, einer Open-Source-Webmail-Software, ausnutzen sollte, und stellte fest, dass die Kampagne mit Aktivitäten zusammenfällt, die CVE-2023-23397 nutzen.
Welche Empfehlungen haben Sie?
Barracuda MSP empfiehlt die folgenden Maßnahmen, um Ihre Umgebung vor dieser Schwachstelle zu schützen:
- Implementieren Sie Sicherheitspatches für CVE-2023-23397 und den entsprechenden Bypass CVE-2023-29324.
- Setzen Sie die Passwörter gefährdeter Benutzer zurück und aktivieren Sie die Multi-Faktor-Authentifizierung für alle Benutzer.
- Erhöhen Sie die Sicherheit, indem Sie den SMB-Verkehr einschränken. Blockieren Sie Verbindungen zu den Ports 135 und 445 von allen eingehenden IP-Adressen.
- Steigern Sie die Sicherheit Ihrer Umgebung, indem Sie NTLM deaktivieren.
Referenzen
Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:
- Russische Hacker nutzen Outlook-Bug für Hijack Exchange-Konten (bleepingcomputer.com)
- Microsoft warnt davor, dass das vom Kreml unterstützte APT28 eine kritische Sicherheitslücke in Outlook ausnutzt (thehackernews.com)
Wenn Sie Fragen zu dieser Cybersecurity Threat Advisory haben, wenden Sie sich bitte an das Security Operations Center von Barracuda XDR.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
