A Microsoft útmutatót adott ki a kritikus Outlook zero-day támadások kivizsgálásához

A Microsoft két hete kiadott, márciusi hibajavító csomagjában két zero-day sérülékenységet is javított, köztük egy MS Outlookot érintő kritikus hibát (CVE-2023-23397). Mivel ismert, hogy a sérülékenységet orosz APT szereplők (APT28) is kihasználják, a hibajavítás telepítése mellett a sérülékeny rendszereken hatványozottan fontos annak kivizsgálása is, hogy történt-e támadás.

Ennek támogatásához a Microsoft már a sérülékenység nyilvánosságra kerülésekor közreadott egy detektáló szkriptet Exchange adminok számára, azonban a tech óriás friss posztjában további segítséget ad az esetleges kompromittálódás megállapításához és a támadások megelőzéséhez. (A kivizsgálást a frissítések telepítése után akkor is javasolt lefolytatni, amennyiben a detektáló szkript nem adott találatot.)

Az útmutatóban a javasolt védekezési lépések mellett részletes információ található az eddig ismertté vált kihasználási módokról és az eddigi támadások során azonosított indikátorok is megtalálhatók.

Hálózati indikátorok:

  • 101.255.119[.]42
  • 213.32.252[.]221
  • 168.205.200[.]55
  • 185.132.17[.]160
  • 69.162.253[.]21
  • 113.160.234[.]229
  • 181.209.99[.]204
  • 82.196.113[.]102
  • 85.195.206[.]7
  • 61.14.68[.]33

Registry kulcsok:

  • HKCU\Software\Microsoft\Office\<VERSION OF OUTLOOK>\Outlook\Tasks
  • HKCU\Software\Microsoft\Office\<VERSION OF OUTLOOK>\Outlook\Notes

Vonatkozó riasztás és sérülékenység leírás az NBSZ NKI weboldalán:

Riasztás Microsoft termékeket érintő sérülékenységekről – 2023. március

CVE-2023-23397

(bleepingcomputer.com)