CVE-2023-23397. Эксплойт, который продолжает эксплуатироваться
APT28 использовали CVE-2023–23397, уязвимость с критическим повышением привилегий в Microsoft Outlook в Windows, для облегчения утечки учётных данных NTLMv2. Эта 0day-уязвимость позволяет передавать хэши Net-NTLMv2 в подконтрольную инфраструктуру.
Для использования CVE-2023–23397 и сбора учётных данных NTLMv2 использованы два общедоступных инструмента:
📌 ntlmrelayx.py: инструмент является частью Impacket suite, набора классов Python для работы с сетевыми протоколами. APT28 использовали ntlmrelayx.py для выполнения relay-атак NTLM [T1557] и облегчения утечки учётных данных NTLMv2.
📌 Responder: инструмент, предназначенный для сбора и передачи хэшей NTLMv2 путём настройки подконтрольного сервера аутентификации [T1556] для сбора учётных данных NTLMv2 от целевых учётных записей Outlook.
Безопасники могут выполнять поиск файлов журналов, а также наличия ntlmrelayx.py и Responder.db, Responder-Session.log для выявления потенциальной активности, связанной с эксплуатацией CVE-2023–23397.
Чтобы снизить риск использования CVE-2023–23397 и утечки учётных данных NTLMv2 следует предпринять следующие шаги:
📌 Применение исправления Microsoft: Microsoft выпустила исправление для CVE-2023–23397.
📌 Проверка на наличие скомпрометированных EdgeRouters: необходимо использовать предоставленную информацию для проверки EdgeRouters на наличие ntlmrelayx.py, связанных с ними файлов журналов, провести идентификацию и изоляцию всех скомпрометированных маршрутизаторов для дальнейшего расследования.
📌 Сброс скомпрометированных учётных данных: при обнаружении утечки учётных данных NTLMv2 следует сбросить соответствующие учётные записи пользователей и применить дополнительные меры безопасности, такие как MFA.
📌 Применение рекомендуемых мер по устранению неполадок: меры по устранению включают сброс настроек оборудования к заводским настройкам, обновление до последней версии встроенного ПО и изменение имён пользователей и паролей по умолчанию.