微软警告:俄罗斯APT28组织利用Outlook漏洞侵入Exchange服务器
微软威胁情报团队在 X(以前称为 Twitter)上声称,APT28(又名 Forest Blizzard、Strontium、Fancy Bear)以美国、欧洲和中东的政府、能源、交通和非政府组织为目标。
Microsoft Defender XDR 检测与利用 CVE-2023-23397 相关的活动,据波兰网络司令部称。成功利用该漏洞后,黑客可以访问受害者的电子邮件通信,该司令部与Microsoft合作调查了这些攻击。
在报告(https://m.wojsko-polskie.pl/woc/articles/aktualnosci-w/detecting-malicious-activity-against-microsoft-exchange-servers/)中详细介绍了其他缓解信息和指南。组织应确保系统得到修补并保持最新状态,以减轻这一威胁。
在波兰网络安全机构调查的案件中,黑客利用Outlook漏洞访问了包含“高价值信息”的邮箱。
根据 Microsoft 的说法,当威胁参与者向用户发送特制消息时,攻击就开始了。如果 Windows 设备上的 Outlook 处于打开状态,则用户甚至不需要与此消息进行交互。利用该漏洞留下的取证痕迹很少,因此很难检测到黑客活动。
CVE-2023-23397在 Microsoft 2023 年 3 月补丁星期日更新中首次被披露并作为0day漏洞进行修补。它被描述为 Outlook 中的严重级别的特权提升漏洞,CVSS 评分为 9.8。
利用该漏洞的攻击无需任何用户交互,只需发送一封特制的电子邮件即可执行,该电子邮件在电子邮件服务器检索时会自动触发。这可能意味着用户的计算机甚至在能够在预览窗格中查看消息之前就已被利用。
所有受支持的 Windows 版 Microsoft Outlook 版本都受到影响,据信 APT28 在微软修复该漏洞之前已经利用该漏洞近一年了。
微软还在 X 上警告称,APT28 可能正在积极利用其他公开已知的漏洞,包括CVE-2023-38831和CVE-2021-40444。
参考链接:https://m.infosecurity-magazine.com/news/russian-apt28-exploits-outlook-bug/
