CVE-2023-23397. Эксплойт, который продолжает эксплуатироваться

APT28 ‎использовали‏ ‎CVE-2023–23397, ‎уязвимость ‎с ‎критическим ‎повышением‏ ‎привилегий ‎в‏ ‎Microsoft‏ ‎Outlook ‎в ‎Windows,‏ ‎для ‎облегчения‏ ‎утечки ‎учётных ‎данных ‎NTLMv2.‏ ‎Эта‏ ‎0day-уязвимость ‎позволяет‏ ‎передавать ‎хэши‏ ‎Net-NTLMv2 ‎в ‎подконтрольную ‎инфраструктуру.

Для ‎использования‏ ‎CVE-2023–23397‏ ‎и ‎сбора‏ ‎учётных ‎данных‏ ‎NTLMv2 ‎использованы ‎два ‎общедоступных ‎инструмента:

📌 http://ntlmrelayx.py: инструмент‏ ‎является‏ ‎частью‏ ‎Impacket ‎suite,‏ ‎набора ‎классов‏ ‎Python ‎для‏ ‎работы‏ ‎с ‎сетевыми‏ ‎протоколами. ‎APT28 ‎использовали ‎http://ntlmrelayx.py для ‎выполнения‏ ‎relay-атак ‎NTLM‏ ‎[T1557]‏ ‎и ‎облегчения ‎утечки‏ ‎учётных ‎данных‏ ‎NTLMv2.

📌 Responder: ‎инструмент, ‎предназначенный ‎для‏ ‎сбора‏ ‎и ‎передачи‏ ‎хэшей ‎NTLMv2‏ ‎путём ‎настройки ‎подконтрольного ‎сервера ‎аутентификации‏ ‎[T1556]‏ ‎для ‎сбора‏ ‎учётных ‎данных‏ ‎NTLMv2 ‎от ‎целевых ‎учётных ‎записей‏ ‎Outlook.

Безопасники‏ ‎могут‏ ‎выполнять ‎поиск‏ ‎файлов ‎журналов,‏ ‎а ‎также‏ ‎наличия‏ ‎http://ntlmrelayx.py и ‎Responder.db,‏ ‎Responder-Session.log ‎для ‎выявления ‎потенциальной ‎активности,‏ ‎связанной ‎с‏ ‎эксплуатацией‏ ‎CVE-2023–23397.

Смягчение ‎последствий

Чтобы ‎снизить‏ ‎риск ‎использования‏ ‎CVE-2023–23397 ‎и ‎утечки ‎учётных‏ ‎данных‏ ‎NTLMv2 ‎следует‏ ‎предпринять ‎следующие‏ ‎шаги:

📌 Применение ‎исправления ‎Microsoft: ‎Microsoft ‎выпустила‏ ‎исправление‏ ‎для ‎CVE-2023–23397.

📌 Проверка‏ ‎на ‎наличие‏ ‎скомпрометированных ‎EdgeRouters: ‎необходимо ‎использовать ‎предоставленную‏ ‎информацию‏ ‎для‏ ‎проверки ‎EdgeRouters‏ ‎на ‎наличие‏ ‎http://ntlmrelayx.py, связанных ‎с‏ ‎ними‏ ‎файлов ‎журналов,‏ ‎провести ‎идентификацию ‎и ‎изоляцию ‎всех‏ ‎скомпрометированных ‎маршрутизаторов‏ ‎для‏ ‎дальнейшего ‎расследования.

📌 Сброс ‎скомпрометированных‏ ‎учётных ‎данных: при‏ ‎обнаружении ‎утечки ‎учётных ‎данных‏ ‎NTLMv2‏ ‎следует ‎сбросить‏ ‎соответствующие ‎учётные‏ ‎записи ‎пользователей ‎и ‎применить ‎дополнительные‏ ‎меры‏ ‎безопасности, ‎такие‏ ‎как ‎MFA.

📌 Применение‏ ‎рекомендуемых ‎мер ‎по ‎устранению ‎неполадок:‏ ‎меры‏ ‎по‏ ‎устранению ‎включают‏ ‎сброс ‎настроек‏ ‎оборудования ‎к‏ ‎заводским‏ ‎настройкам, ‎обновление‏ ‎до ‎последней ‎версии ‎встроенного ‎ПО‏ ‎и ‎изменение‏ ‎имён‏ ‎пользователей ‎и ‎паролей‏ ‎по ‎умолчанию.