Η ομάδα Threat Intelligence της Microsoft εξέδωσε σήμερα προειδοποίηση σχετικά με τη ρωσική κρατική ομάδα APT28 επίσης γνωστή ως “Fancybear” ή “Strontium“, που εκμεταλλεύεται ενεργά την αδυναμία CVE-2023-23397 του Outlook για να αποκτήσει έλεγχο των λογαριασμών του Microsoft Exchange και να κλέψει ευαίσθητες πληροφορίες.
Δείτε επίσης: Outlook: Πώς να επαναφέρετε το inbox view στη default μορφή του;
Οι οντότητες που βρίσκονται στο στόχαστρο περιλαμβάνουν κυβερνήσεις, ενέργεια, μεταφορές και άλλους ζωτικούς οργανισμούς στις Ηνωμένες Πολιτείες, την Ευρώπη και τη Μέση Ανατολή.
Η εταιρεία επισήμανε επίσης την εκμετάλλευση άλλων ευπαθειών με δημόσια διαθέσιμες εκμεταλλεύσεις στις ίδιες επιθέσεις, συμπεριλαμβανομένων των CVE-2023-38831 στο WinRAR και CVE-2021-40444 στον MSHTML των Windows.
Το CVE-2023-23397 είναι μια κρίσιμη ευπάθεια προνομιακών δικαιωμάτων (EoP) στο Outlook στα Windows, την οποία η Microsoft διόρθωσε με το Patch Tuesday Μαρτίου 2023.
Η αποκάλυψη της αδυναμίας συνοδευόταν από την αποκάλυψη ότι η ομάδα APT28 την εκμεταλλευόταν από τον Απρίλιο του 2022 μέσω ειδικά σχεδιασμένων σημειώσεων Outlook με σκοπό την κλοπή NTLM hashes, αναγκάζοντας τις συσκευές-στόχους να πιστοποιηθούν σε SMB shares που ελέγχονται από τον επιτιθέμενο χωρίς να απαιτείται αλληλεπίδραση του χρήστη.
Αναβαθμίζοντας τα προνόμια τους στο σύστημα, το οποίο αποδείχθηκε απλό, τα μέλη της APT28 πραγματοποίησαν πλευρική κίνηση στο περιβάλλον του θύματος και άλλαξαν τα δικαιώματα του Outlook για να πραγματοποιήσουν στοχευμένη κλοπή ηλεκτρονικού ταχυδρομείου. Παρά τη διαθεσιμότητα ενημερώσεων ασφαλείας και συστάσεων για την αντιμετώπιση, η επιφάνεια επίθεσης παρέμεινε σημαντική, και μια παράκαμψη του διορθωτικού μέτρου (CVE-2023-29324) που ακολούθησε τον Μάιο επιδείνωσε την κατάσταση.
Τον Ιούνιο, η Recorded Future προειδοποίησε ότι η APT28 πιθανότατα εκμεταλλεύτηκε το ελάττωμα του Outlook εναντίον κορυφαίων οργανισμών της Ουκρανίας. Τον Οκτώβριο, ο γαλλικός οργανισμός κυβερνοασφάλειας (ANSSI) αποκάλυψε ότι οι χάκερ χρησιμοποίησαν επίθεση μηδενικού κλικ εναντίον κυβερνητικών οντοτήτων, επιχειρήσεων, πανεπιστημίων, ερευνητικών ινστιτούτων και συνεκδοχικών σκέψης στη Γαλλία.
Δείτε ακόμα: Microsoft Outlook: Είναι πλέον δωρεάν για Mac χωρίς να απαιτείται συνδρομή
Η τελευταία προειδοποίηση της Microsoft υπογραμμίζει ότι οι χάκερ της GRU εξακολουθούν να εκμεταλλεύονται το CVE-2023-38831 σε επιθέσεις, επομένως υπάρχουν ακόμα συστήματα που παραμένουν ευάλωτα στο κρίσιμο σφάλμα EoP.
Η τεχνολογική εταιρεία έχει επίσης αναφέρει το έργο του Πολωνικού Κέντρου Κυβερνοεπίθεσης (DKWOC) στην ανίχνευση και τον τερματισμό των επιθέσεων. Το DKWOC δημοσίευσε επίσης ένα άρθρο που περιγράφει τη δραστηριότητα του APT28 που αξιοποιεί την CVE-2023-38831.
Οι προτεινόμενες ενέργειες που πρέπει να ακολουθηθούν αυτήν τη στιγμή, κατά προτεραιότητα, είναι οι εξής:
- Εφαρμόστε τις διαθέσιμες ενημερώσεις ασφαλείας για το CVE-2023-23397 και το αναστρεπτικό του CVE-2023-29324.
- Χρησιμοποιήστε αυτό το σενάριο από τη Microsoft για να ελέγξετε εάν οποιοσδήποτε χρήστης του Exchange έχει στοχοποιηθεί.
- Επαναφέρετε τους κωδικούς πρόσβασης των χρηστών που έχουν παραβιαστεί και ενεργοποιήστε το MFA (πολυπαραγοντική πιστοποίηση) για όλους τους χρήστες.
- Περιορίστε την κίνηση SMB αποκλείοντας τις συνδέσεις στις πόρτες 135 και 445 από όλες τις εισερχόμενες διευθύνσεις IP.
- Απενεργοποιήστε το NTLM στο περιβάλλον σας.
Δεδομένου ότι η APT28 είναι μια εξαιρετικά ικανή και προσαρμόσιμη ομάδα απειλών, η πιο αποτελεσματική στρατηγική άμυνας είναι να μειωθεί η επιφάνεια επίθεσης σε όλες τις διεπαφές και να διασφαλιστεί ότι όλα τα λογισμικά ενημερώνονται τακτικά με τις τελευταίες ενημερώσεις ασφαλείας.
Μια από τις καλύτερες πρακτικές για την αποφυγή του Outlook bug είναι να ενημερώνετε πάντα το λογισμικό του Outlook σας στην τελευταία έκδοση. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις για γνωστά σφάλματα ασφαλείας.
Ένας άλλος τρόπος για να αποφύγετε το Outlook bug είναι να προσέχετε τα αρχεία που λαμβάνετε μέσω email. Αν υπάρχουν επισυναπτόμενα αρχεία που δεν αναγνωρίζετε ή που προέρχονται από ανώνυμες πηγές, είναι καλό να αποφεύγετε να τα ανοίγετε.
Δείτε επίσης: Outlook prompts: Διορθώνονται για να ανοίξουν τα κλειστά παράθυρα
Επίσης, είναι σημαντικό να αποφεύγετε την αποστολή ή τη λήψη μεγάλων αρχείων μέσω του Outlook. Τα μεγάλα αρχεία μπορούν να προκαλέσουν προβλήματα κατά την αποστολή και τη λήψη, και μπορεί να επηρεάσουν τη σταθερότητα του προγράμματος.
Μια άλλη καλή πρακτική είναι να ελέγχετε τακτικά τον φάκελο ανεπιθύμητης αλληλογραφίας σας. Ορισμένα Outlook bug μπορεί να προκαλέσουν την εμφάνιση ανεπιθύμητων μηνυμάτων στον φάκελο ανεπιθύμητης αλληλογραφίας, οπότε είναι σημαντικό να τον ελέγχετε και να διαγράφετε τα ανεπιθύμητα μηνύματα.
Τέλος, μια καλή πρακτική είναι να διατηρείτε τον υπολογιστή σας ενημερωμένο με τις τελευταίες ενημερώσεις λογισμικού και ασφαλείας. Αυτό μπορεί να βοηθήσει στην αποφυγή προβλημάτων συμβατότητας και ασφαλείας που μπορεί να επηρεάσουν το Outlook.
Πηγή: bleepingcomputer
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/502534/outlook-sfalma-epitrepei-rosous-hacker-apoktisoun-elegxo-logariasmous-exchange/&media=https://www.secnews.gr/wp-content/uploads/2023/12/Outlook-Σφάλμα-επιτρέπει-σε-Ρώσους-χάκερ-λογαριασμούς-Exchange.jpg&description=Η ρωσική κρατική ομάδα APT28 (επίσης γνωστή ως "Fancybear" ή "Strontium") που εκμεταλλεύεται ενεργά την αδυναμία CVE-2023-23397 του Outlook.){kind=link}