Microsoft fixes Outlook zero-day used by Russian hackers since April 2022
2023/03/14 BleepingComputer — ロシアの軍事情報機関 GRU に関連するハッキング・グループが、欧州の組織への攻撃に悪用した Outlook のゼロデイ脆弱性 (CVE-2023-23397) に、Microsoft はパッチを適用した。この脆弱性は、2022年4月中旬から 12月までの間に、政府/軍事/エネルギー/輸送機関などのネットワークを標的にした、15件ほどの攻撃で悪用されてきた。この攻撃を仕掛けたのは、APT28/STRONTIUM/Sednit/Sofacy/Fancy Bear などの名前で追跡されているハッキング・グループである。その手口は、悪意の Outlook のメモとタスクを送信し、NTLM ネゴシエーション・リクエストを介して NTLM ハッシュを盗み出し、攻撃者が制御する SMB 共有に対して、ターゲットのデバイスを強制的に認証させるというものだ。
そして、被害者のネットワーク内での横移動や、Outlook のメールボックス・フォルダ権限の変更のために、盗み出された認証情報が使用され、特定アカウントの Eメールを流出させていた。Microsoft 365 Defender/Microsoft Defender for Business/Microsoft Defender for Endpoint Plan 2 を契約している顧客への、非公開の脅威分析レポートで、この情報は共有されている。
Windows 版のクリティカルな Exchange Online Protection
この脆弱性 CVE-2023-23397 は、CERT-UA (Computer Emergency Response Team for Ukraine) により報告されたものであり、低難度の攻撃でユーザーの操作なしに悪用が可能な、Outlook の深刻な権限昇格の欠陥であることが判明した。
脅威アクターたちは、詩人のコントロール下にある SMB 共有 (TCP 445) への UNC パスを含む、拡張 MAPI プロパティを持つメッセージを送信することで、この問題を悪用できる。
2023年3月14日に発表したセキュリティ・アドバイザリで Microsoft は、「攻撃者は、特別に細工された電子メールを送信することで、この脆弱性を悪用する可能にする。この電子メールは、Outlook クライアントにより取得/処理されると自動的にトリガーされ、プレビュー・ペインで表示される前に悪用される可能性が生じる」と述べている。
また、Microsoft は別のブログで、「リモート SMB サーバへの接続により、ユーザーも NTLM ネゴシエーション・メッセージが送信される。攻撃者は、NTLM 認証をサポートする、他のシステムに対する認証の中継を可能にする」と説明している。
脆弱性 CVE-2023-23397 は、Microsoft Outlook for Windows の全てのバージョンに影響を及ぼすが、Outlook for Android/iOS/macOS バージョンには影響しない。また、Outlook on The Web や Microsoft 365 などのオンライン・サービスは、NTLM 認証をサポートしていないため、この NTLM リレーの脆弱性を悪用した攻撃の影響を受けない。
Microsoft は、この脆弱性を緩和するために、直ちに CVE-2023-23397 のパッチを適用することを推奨している。すぐにパッチを適用できない場合には、Active Directory の Protected Users グループにユーザーを追加し、アウトバウンドSMB (TCPポート445) をブロックすることで、CVE-2023-23397 の影響を抑制できるかもしれないと、同社は述べている。
緩和策とターゲティング検出スクリプトの提供
Microsoft は、顧客に対して、攻撃の影響を最小限に抑えるための一時的な緩和策として、CVE-2023-23397 に対するパッチ適用/Active Directory の Protected Users グループへのユーザーの追加/SMB (TCPポート445) のアウトバウンド・ブロックなどを、直ちに実行するよう求めている。
さらに同社は、Exchange 環境内の各ユーザーにおける、この Outlook 脆弱性への攻撃の有無を管理者が確認するための、専用の PowerShell スクリプトを公開した。
このスクリプトに関して Microsoft は、「Exchange メッセージング・アイテム (メール/カレンダー/タスク) をチェックし、プロパティに UNC パスが入力されているかどうかを確認する。必要であれば、管理者はこのスクリプトを使用して、悪意のアイテムのプロパティに対するクリーンアップや、アイテムの永久的な削除を行える」と説明している。
また、このスクリプトをクリーンアップ・モードで実行すると、監査対象の Exchange Server で悪意の可能性を持つメッセージを検出した場合に、それを修正/削除できるとのことだ。
この Outlook のゼロデイ脆弱性 CVE-2023-23397 ですが、悪用している相手が悪すぎますね。Microsoft の March 2023 Patch Tuesday が出た、3月14日の時点で、CISAも KEV リストに追加しています。なお、 2023/02/17 の「ウクライナ侵攻におけるロシアのサイバー戦略:この1年の活動を時系列で整理する」を見ると、APT28/Fancy Bear などの名前を確認できます。この記事は、Google の力作レポートをベースにしたものであり、お勧めできます。よろしければ、以下の関連記事も、ご参照ください。
2022/08/19:ウクライナから NATO へと標的が拡大する可能性は?
2022/04/07:Microsoft がロシアの APT28 のドメインをダウン
2022/03/31:Viasat 衛星ブロードバンドを攻撃する AcidRain
2021/12/17:ロシアのスパイグループが Log4Shell の悪用を開始
2021/10/08:Microsoft:米政府を狙うハッカーの 53% はロシア由来
IoT OT Security News 
You must be logged in to post a comment.