Факты
August 23

CVE-2023-23397. Эксплойт, который продолжает эксплуатироваться

APT28 использовали CVE-2023–23397, уязвимость с критическим повышением привилегий в Microsoft Outlook в Windows, для облегчения утечки учётных данных NTLMv2. Эта 0day-уязвимость позволяет передавать хэши Net-NTLMv2 в подконтрольную инфраструктуру.

Для использования CVE-2023–23397 и сбора учётных данных NTLMv2 использованы два общедоступных инструмента:

📌 ntlmrelayx.py: инструмент является частью Impacket suite, набора классов Python для работы с сетевыми протоколами. APT28 использовали ntlmrelayx.py для выполнения relay-атак NTLM [T1557] и облегчения утечки учётных данных NTLMv2.

📌 Responder: инструмент, предназначенный для сбора и передачи хэшей NTLMv2 путём настройки подконтрольного сервера аутентификации [T1556] для сбора учётных данных NTLMv2 от целевых учётных записей Outlook.

Безопасники могут выполнять поиск файлов журналов, а также наличия ntlmrelayx.py и Responder.db, Responder-Session.log для выявления потенциальной активности, связанной с эксплуатацией CVE-2023–23397.

Смягчение последствий

Чтобы снизить риск использования CVE-2023–23397 и утечки учётных данных NTLMv2 следует предпринять следующие шаги:

📌 Применение исправления Microsoft: Microsoft выпустила исправление для CVE-2023–23397.

📌 Проверка на наличие скомпрометированных EdgeRouters: необходимо использовать предоставленную информацию для проверки EdgeRouters на наличие ntlmrelayx.py, связанных с ними файлов журналов, провести идентификацию и изоляцию всех скомпрометированных маршрутизаторов для дальнейшего расследования.

📌 Сброс скомпрометированных учётных данных: при обнаружении утечки учётных данных NTLMv2 следует сбросить соответствующие учётные записи пользователей и применить дополнительные меры безопасности, такие как MFA.

📌 Применение рекомендуемых мер по устранению неполадок: меры по устранению включают сброс настроек оборудования к заводским настройкам, обновление до последней версии встроенного ПО и изменение имён пользователей и паролей по умолчанию.