Нулевой день для российских хакеров
(CVE-2023-23397)
Тут пишут, что украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT-UA) нашла и зарепортила в Microsoft некую новую уязвимость Outlook, причем судя по скорости исправления и реакции, речь идет об уже эксплуатирующийся 0-day, уязвимости нулевого дня. Сами американцы пишут, что некая группа из России использовала ее для атаки нескольких европейских и украинских организаций — судя по описанию, это похоже на правду. В атаках обвиняют APT28 (ака Fancy Bear и куча других названий), известная группа, которую часто называют связанной с ГРУ.
Уязвимость получившая идентификатор CVE-2023-23397 использует Microsoft Outlook для получения учетных данных пользователя. Работает это примерно так — есть учетная запись, из-под которой работает Outlook. Приходит в Outlook письмо, отправленное злоумышленниками, и когда почтовый клиент письмо обрабатывает, чтобы показать уведомление — в этот момент уязвимость инициирует подключение к серверу злоумышленников по протоколу SMB (445/TCP). Таким образом на сервер злоумышленников прилетает хэш учетных данных. Это не логин-пароль в открытом виде, но если у атакующих есть 0-day, то ферма для перебора паролей по хэшу уж точно найдется.
Что беспрецедентно - жертве не нужно предпринимать никаких действий, открывать письмо, ходить по ссылке, и так далее. Единственная защита до вчерашнего патча была в том, что из внутренней сети иногда закрывают исходящие подключения к "внутренним" портам, к тому же 445/TCP. А вообще, если это и правда сделали из России можно сказать только одно — 0-day это всегда про высокий уровень и говорит об очень серьезной квалификации.
#3side_безполитики
(CVE-2023-23397)
Тут пишут, что украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT-UA) нашла и зарепортила в Microsoft некую новую уязвимость Outlook, причем судя по скорости исправления и реакции, речь идет об уже эксплуатирующийся 0-day, уязвимости нулевого дня. Сами американцы пишут, что некая группа из России использовала ее для атаки нескольких европейских и украинских организаций — судя по описанию, это похоже на правду. В атаках обвиняют APT28 (ака Fancy Bear и куча других названий), известная группа, которую часто называют связанной с ГРУ.
Уязвимость получившая идентификатор CVE-2023-23397 использует Microsoft Outlook для получения учетных данных пользователя. Работает это примерно так — есть учетная запись, из-под которой работает Outlook. Приходит в Outlook письмо, отправленное злоумышленниками, и когда почтовый клиент письмо обрабатывает, чтобы показать уведомление — в этот момент уязвимость инициирует подключение к серверу злоумышленников по протоколу SMB (445/TCP). Таким образом на сервер злоумышленников прилетает хэш учетных данных. Это не логин-пароль в открытом виде, но если у атакующих есть 0-day, то ферма для перебора паролей по хэшу уж точно найдется.
Что беспрецедентно - жертве не нужно предпринимать никаких действий, открывать письмо, ходить по ссылке, и так далее. Единственная защита до вчерашнего патча была в том, что из внутренней сети иногда закрывают исходящие подключения к "внутренним" портам, к тому же 445/TCP. А вообще, если это и правда сделали из России можно сказать только одно — 0-day это всегда про высокий уровень и говорит об очень серьезной квалификации.
#3side_безполитики