Microsoft'un Tehdit İstihbarat Ekibi, bugün daha önce Rus devlet destekli aktör APT28 (diğer adıyla "FancyBear" veya "Strontium") CVE-2023-23397 Outlook Kusurunu Microsoft Exchange hesaplarını ele geçirmeye ve hassas bilgileri çalmaya aktif olarak kullanan bir uyarı yayınladı.
Hedeflenen varlıklar arasında hükümet, enerji, ulaşım ve Amerika Birleşik Devletleri, Avrupa ve Orta Doğu'daki diğer kilit kuruluşlar bulunmaktadır.
Teknoloji devi ayrıca, Winrar'da CVE-2023-38831 ve Windows MSHTML'deki CVE-2021-40444 dahil olmak üzere aynı saldırılarda halka açık istismarlarla diğer güvenlik açıklarının sömürülmesini vurguladı.
CVE-2023-23397, Microsoft'un Salı günü Mart 2023 yolunda sıfır gün olarak sabitlenen Windows'daki Outlook'ta kritik bir ayrıcalık (EOP) güvenlik açığı yüksekliğidir.
Kusurun açıklanması, APT28'in Nisan 2022'den bu yana NTLM karmalarını çalmak için tasarlanmış özel hazırlanmış Outlook notları aracılığıyla kullandığı vahiy ile geldi ve hedef cihazları kullanıcı etkileşimi gerektirmeden saldırgan kontrollü SMB hisselerine kimlik doğrulamaya zorladı.
APT28, karmaşık olmayan sistemdeki ayrıcalıklarını yükselterek, kurbanın ortamında yanal hareket gerçekleştirdi ve hedeflenen e -posta hırsızlığı gerçekleştirmek için Outlook posta kutusu izinlerini değiştirdi.
Güvenlik güncellemelerinin ve azaltma önerilerinin kullanılabilirliğine rağmen, saldırı yüzeyi önemli kaldı ve Mayıs ayında izleyen düzeltmenin (CVE-2023-29324) bir baypası durumu kötüleştirdi.
Kaydedilen Future, Haziran ayında APT28'in büyük Ukraynalı örgütlere karşı görünüm kusurundan yararlandığı konusunda uyardı. Ekim ayında, Fransız Siber Güvenlik Ajansı (ANSSI), Rus bilgisayar korsanlarının Fransa'daki devlet kuruluşlarına, işletmelere, üniversitelere, araştırma enstitüsüne ve düşünce tanklarına karşı sıfır tıkaç saldırısı kullandığını açıkladı.
Microsoft'un son uyarısı, GRU bilgisayar korsanlarının hala saldırılarda CVE-2023-38831'den yararlandığını vurgular, bu nedenle hala kritik EOP kusuruna karşı savunmasız kalan sistemler var.
Teknoloji firması ayrıca Polonya Siber Komuta Merkezi'nin (DKWOC) saldırıların tespitine ve durdurulmasına yardımcı olma çalışmalarını not etti. DKWOC ayrıca CVE-2023-38831'den yararlanan APT28 etkinliğini tanımlayan bir yazı yayınladı.
Önceliğe göre listelenen şu anda yapılacak önerilen eylem şunlardır:
APT28'in son derece becerikli ve uyarlanabilir bir tehdit grubu olduğu göz önüne alındığında, en etkili savunma stratejisi tüm arayüzlerdeki saldırı yüzeyini azaltmak ve tüm yazılım ürünlerinin en son güvenlik yamalarıyla düzenli olarak güncellenmesini sağlamaktır.
Microsoft, Nisan 2022'den bu yana Rus hackerlar tarafından kullanılan Outlook Zero Day'i düzeltiyor
Microsoft: Clop Fidye Yazılımı Saldırılarında Suro Sıralı Gün Kusurlu
Microsoft: Eylül ayından bu yana Confluence Zero Day'den yararlanan eyalet hackerları
Hackerlar Adobe Coldfusion Sustay'ı kullanarak ABD govt ajanslarını ihlal ediyor
Bilgisayar korsanları, dünya çapında Govt Networks'teki saldırılarda Citrix Bleed Kusur kullanıyor
Kaynak: Bleeping Computer