A Microsoft két hete kiadott, márciusi hibajavító csomagjában két zero-day sérülékenységet is javított, köztük egy MS Outlookot érintő kritikus hibát (CVE-2023-23397). Mivel ismert, hogy a sérülékenységet orosz APT szereplők (APT28) is kihasználják, a hibajavítás telepítése mellett a sérülékeny rendszereken hatványozottan fontos annak kivizsgálása is, hogy történt-e támadás.
Ennek támogatásához a Microsoft már a sérülékenység nyilvánosságra kerülésekor közreadott egy detektáló szkriptet Exchange adminok számára, azonban a tech óriás friss posztjában további segítséget ad az esetleges kompromittálódás megállapításához és a támadások megelőzéséhez. (A kivizsgálást a frissítések telepítése után akkor is javasolt lefolytatni, amennyiben a detektáló szkript nem adott találatot.)
Az útmutatóban a javasolt védekezési lépések mellett részletes információ található az eddig ismertté vált kihasználási módokról és az eddigi támadások során azonosított indikátorok is megtalálhatók.
Hálózati indikátorok:
- 101.255.119[.]42
- 213.32.252[.]221
- 168.205.200[.]55
- 185.132.17[.]160
- 69.162.253[.]21
- 113.160.234[.]229
- 181.209.99[.]204
- 82.196.113[.]102
- 85.195.206[.]7
- 61.14.68[.]33
Registry kulcsok:
- HKCU\Software\Microsoft\Office\<VERSION OF OUTLOOK>\Outlook\Tasks
- HKCU\Software\Microsoft\Office\<VERSION OF OUTLOOK>\Outlook\Notes
Vonatkozó riasztás és sérülékenység leírás az NBSZ NKI weboldalán:Riasztás Microsoft termékeket érintő sérülékenységekről – 2023. március |
