Outlook の脆弱性 CVE-2023-23397 の悪用:Microsoft のガイダンスで攻撃に対抗

Microsoft shares guidance for investigating attacks exploiting CVE-2023-23397

2023/03/26 SecurityAffairs — 先日にパッチが適用された Outlook の脆弱性 CVE-2023-23397 について、Microsoft が悪用と攻撃に関するガイダンスを公開した。Microsoft Outlook における成りすましの脆弱性から生じる、この問題は認証バイパスへとつながるものだ。この脆弱性の悪用に成功したリモートの攻撃者は、影響を受けるシステムに対して特別に細工した電子メールを送信することで、ユーザーの Net-NTLMv2 ハッシュに、未認証でアクセスできる。


Microsoft のアドバイザリでは、「この脆弱性を悪用すると、ユーザーの Net-NTLMv2 ハッシュにアクセスし、そこから他のサービスに NTLM リレー攻撃を行い、ユーザーに成りすますことが可能になる」と説明されている。

このアドバイザリは、「攻撃者から送信された特別に細工されたメールが受信され、Outlook クライアントにより取得/処理されたときに、自動的に脆弱性の悪用が始まる。それにより、メールがプレビュー・ペインで表示される前に、悪用される可能性が生じる。外部の攻撃者が、特別に細工したメールを送信することで、攻撃者のコントロールする外部の UNC ロケーションへと、被害者が接続される。そして、攻撃者に対して漏洩した被害者の Net-NTLMv2 ハッシュが、別のサービスに中継され、対象となる被害者としての認証が可能になる」と詳述している。

この、CERT-UA/Microsoft Threat Intelligence (MSTI) が報告した脆弱性は、国家に支援される脅威アクターによる悪用が示唆されている。Microsoft は、Patch Tuesday updates for March 2023 の一部として、この脆弱性に対処している。

同社が公開したガイダンスには、この脆弱性を悪用した攻撃の詳細が記載されている。以下の図は、攻撃者が Net-NTLMv2 リレー攻撃を介してイニシャル・アクセスを獲得し、メールボックス・フォルダ権限の変更にり永続性を維持し、さらに悪意のメッセージを送信して横移動を行うこ流れを示している。

CVE-2023-23397 attack
脅威アクターが CVE-2023-23397 を利用して Exchange Server に不正アクセスし、メールボックスへの永続的なアクセスのためにメールボックスのフォルダ・パーミッションを変更する様子が確認された (Microsoft)

以下の攻撃シナリオでは、侵害したメールアカウントを悪用する脅威アクターが、同じ組織の他のメンバーをターゲットにすることで、侵害した環境内でのアクセスを拡張している。

CVE-2023-23397 attack
脅威アクターが侵害されたメールアカウントを使用して、同じ組織 (Microsoft) の他のメンバーをターゲットに、侵害された環境でのアクセスを拡張していたことが確認された (Microsoft)

Microsoft のガイダンスは、「NTLMv2 ハッシュを悪用して、リソースに不正アクセスすることは新しい手法ではないが、CVE-2023-23397 の悪用は斬新かつ巧妙な手口だ。タスクのリマインダーに不審な点があると、ユーザーが報告していたが、関連するメッセージ/タスク/カレンダーアイテムなどのイニシャル・セキュリティ・レビューでは、悪意のアクティビティが検出されなかった」と述べている。

さらに、「ユーザーによる操作が不要なことも、この脆弱性のユニークな性質に寄与している。このガイダンスでは、Microsoft Incident Response が、この CVE を悪用する脅威ハンターの手口と戦略を、さらには、悪用後に観察される脅威アクターのハンティングに関するテクニックを詳述している。さらに、クレデンシャルの侵害と一致する、異常なユーザー・アクティビティについては、広範な脅威ハンティングの実施が推奨される」と結論づけている。

Microsoft のガイダンスには、このキャンペーンの攻撃指標も含まれている。

脅威情報会社である Mandiant の研究者たちも、APT28 グループとの関連が疑われる、脅威アクター UNC4697 のアクティビティを検知している。Microsoft Exchange の脆弱性 CVE-2023-23397 を悪用する、数ヶ月にわたるサイバースパイ・キャンペーンが確認されたと報告している。

この、Outlook の脆弱性 CVE-2023-23397 ですが、かなり厄介な問題となっているようです。パッチが適用できない場合の回避策ですが、Exchange の脆弱性のときの、Rackspace のようなインシデントが生じないと良いですね。3月に公表された、性 CVE-2023-23397 に関連する記事は、以下のとおりです。

2023/03/18:ゼロデイ CVE-2023-23397:突出した危険度
2023/03/14:ゼロデイ CVE-2023-23397:直ちにパッチ適用を!
2023/03/14:Microsoft 2023-3 月例アップデート