Специалисты Microsoft Threat Intelligence предупредили, что русскоязычная хак-группа APT28 (она же Fancybear и Strontium) активно эксплуатирует уязвимость, обнаруженную и исправленную в Outlook в этом году, для взлома учетных записей Microsoft Exchange и кражи конфиденциальной информации.

По данным исследователей, с помощью этого бага хакеры атакуют правительственные организации, а также компании энергетического, транспортного и других ключевых секторов в США, Европе и на Ближнем Востоке.

Также подчеркивается, что ATP28 использует в своих кампаниях и другие уязвимости, для которых уже доступны эксплоиты, в том числе CVE-2023-38831 в WinRAR и CVE-2021-40444 в Windows MSHTML.

Напомним, что CVE-2023-23397 представляет собой критический баг (9,8 балла из 10 по шкале CVSS), связанный с повышением привилегий в Microsoft Outlook. При помощи специального письма проблема может вынудить целевое устройство подключиться к удаленному URL-адресу и передать хэш Net-NTLMv2 учетной записи Windows.

Уязвимость была исправлена в марте текущего года, и тогда специалисты Microsoft писали:

«Злоумышленники могут отправлять специально подготовленные электронные письма, из-за которых жертва соединится с внешним UNC, контролируемым атакующим. Это приведет к утечке хэша Net-NTLMv2 жертвы, и злоумышленник сможет пройти аутентификацию от лица жертвы».

В компании предупреждали, что срабатывание уязвимости происходит еще до прочтения письма через панель предварительного просмотра, поскольку уязвимость «срабатывает автоматически, во время загрузки и обработки почтовым сервером».

Еще весной 2023 года стало известно, что эта проблема применялась APT28 в атаках на европейские правительственные, военные, энергетические и транспортные организации в период с середины апреля по декабрь 2022 года.

Хуже того, в мае 2023 года стало ясно, что вышедший патч для CVE-2023-23397 можно обойти (эта проблема получила собственный идентификатор — CVE-2023-29324), что дополнительно усугубило ситуацию, и в результате атаки продолжаются до сих пор.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии