CVE-2023-23397 – IoT OT Security News

Microsoft NTLM の新たな脆弱性：CVE-N/A だが 0patch がパッチを提供

Microsoft NTLM Zero-Day to Remain Unpatched Until April

2024/12/10 DarkReading — Windows Workstation／Server に存在する、NTLM ハッシュのゼロデイ脆弱性が、ACROS Security の研究者たちにより発見された。Windows バージョン 7〜11 に影響を及ぼす、この問題が公開された数日後に、Microsoft はガイダンスを公開し、NTLM リレー攻撃をデフォルトで緩和する方法を共有している。

Outlook の脆弱性 CVE-2023-23397 と APT28：チェコとドイツに対するスパイ行為が発覚

Microsoft Outlook Flaw Exploited by Russia’s APT28 to Hack Czech, German Entities

2024/05/04 TheHackerNews — 5月3日 (金) にチェコとドイツの両国は、ロシアに支援される脅威アクター APT28 により実施された、長期的なサイバースパイ・キャンペーンの標的であったことを明らかにし、EU／NATO／英国／米国から非難を浴びた。チェコ共和国の外務省 (MFA) は声明の中で、2023年初頭に明るみに出た Microsoft Outlook の脆弱性を悪用する攻撃により、同国内の無名の団体が被害を受けたと述べている。MFA は、「政治団体／国家機関／重要インフラを標的とするサイバー攻撃は、国家安全保障に対する脅威であるだけではなく、我々の自由な社会が基盤としている民主主義のプロセスを混乱させるものだ」と述べている。

Pawn Storm という APT：ステルス性 Net-NTLMv2 リレー攻撃に注意が必要

Pawn Storm’s Stealthy Net-NTLMv2 Assault Revealed

2024/01/31 InfoSecurity — APT28 としても知られる APT アクターである Pawn Storm は、遅くとも 2004年以降において各種のテクニックを駆使し、世界的に価値の高い事業体を標的としてきた。このグループは、一見すると 10年前のフィッシング・キャンペーンのような時代遅れの手法に頼っているが、現実には何千もの電子メール・アカウントを侵害し続けている。1月31日に、Trend Micro の研究者 Feike Hacquebord と Fernando Merces が発表したアドバイザリによると、最近の Pawn Storm は、Net-NTLMv2 ハッシュ・リレー攻撃に関与しており、世界中の政府／防衛／軍事ネットワークへのブルートフォース侵入を試みている。

Outlook の脆弱性 CVE-2023-35384／CVE-2023-36710：連鎖によるゼロクリック攻撃が可能

Microsoft Outlook Zero-Click Security Flaws Triggered by Sound File

2023/12/20 DarkReading — 今週に Akamai の研究者たちが公開したのは、Microsoft Outlook の２つの脆弱性の詳細だ。これらの脆弱性の連鎖を成功させた攻撃者は、影響を受けたシステム上で、ユーザーの操作なしで任意のコード実行が可能になる。珍しいことに、これらの脆弱性は、どちらもサウンド・ファイルを使って引き起こされる。

Outlook の脆弱性 CVE-2023-23397：ロシアの APT28 が NATO 攻撃に悪用

Russian military hackers target NATO fast reaction corps

2023/12/07 BleepingComputer — ロシアの APT28 軍事ハッカーは、Microsoft Outlook のゼロデイ脆弱性を利用して、NATO 加盟国の Rapid Deployable Corps をなどを標的としている。ロシアの政府および軍事において、戦略的な諜報活動が重要であると考えられる 14 カ国の、少なくとも 30 の組織に対する３つのキャンペーンで、約20カ月にわたって脆弱性 CVE-2023-23397 が悪用されてきたと、Paro Alto Networks の Unit 42 の研究者たちが指摘している。

Outlook の脆弱性 CVE-2023-23397：ロシアの APT が Exchange 侵害に悪用

Patch Now: Forest Blizzard Targets Exchange Servers with Outlook Zero-Day Exploit

2023/12/05 SecurityOnline — 進化を続けるサイバーセキュリティの世界において、世界中のデジタル防衛者の背筋を凍らせる新たな脅威が姿を現した。この Forest Blizzard は、Microsoft にはSTRONTIUM という名で追跡されており、サイバー脅威の領域において恐るべき力を示している。

Outlook の脆弱性 CVE-2023-23397 の悪用：Microsoft のガイダンスで攻撃に対抗

Microsoft shares guidance for investigating attacks exploiting CVE-2023-23397

2023/03/26 SecurityAffairs — 先日にパッチが適用された Outlook の脆弱性 CVE-2023-23397 について、Microsoft が悪用と攻撃に関するガイダンスを公開した。Microsoft Outlook における成りすましの脆弱性から生じる、この問題は認証バイパスへとつながるものだ。この脆弱性の悪用に成功したリモートの攻撃者は、影響を受けるシステムに対して特別に細工した電子メールを送信することで、ユーザーの Net-NTLMv2 ハッシュに、未認証でアクセスできる。

Outlook のゼロデイ脆弱性 CVE-2023-23397：突出した危険度に要注意

Microsoft Outlook Vulnerability Could Be 2023’s ‘It’ Bug

2023/03/18 DarkReading — 先日に Microsoft は、積極的に悪用されている Outlook のゼロデイ脆弱性 CVE-2023-23397 にパッチを適用した。この脆弱性の悪用に成功した攻撃者は、権限昇格を実行し、被害者の Net-NTLMv2 チャレンジ・レスポンス認証ハッシュにアクセスし、ユーザーになりすますことが可能だ。現時点において、CVE-2023-23397 は、今年に入って発生したバグの中で、最も広範囲に影響を及ぼす危険なものだと判明し、セキュリティ研究者たちは警告を発している。わずか３日前に公開されたばかりだが、数多くの PoC エクスプロイトが登場している。悪用する際に、ユーザーの操作が必要ないという点からも、犯罪者の関心が大きく高まることは間違いない。

Microsoft Outlook のゼロデイ CVE-2023-23397 が FIX：直ちにパッチ適用を！

Microsoft fixes Outlook zero-day used by Russian hackers since April 2022

2023/03/14 BleepingComputer — ロシアの軍事情報機関 GRU に関連するハッキング・グループが、欧州の組織への攻撃に悪用した Outlook のゼロデイ脆弱性 (CVE-2023-23397) に、Microsoft はパッチを適用した。この脆弱性は、2022年4月中旬から 12月までの間に、政府／軍事／エネルギー／輸送機関などのネットワークを標的にした、15件ほどの攻撃で悪用されてきた。この攻撃を仕掛けたのは、APT28／STRONTIUM／Sednit／Sofacy／Fancy Bear などの名前で追跡されているハッキング・グループである。その手口は、悪意の Outlook のメモとタスクを送信し、NTLM ネゴシエーション・リクエストを介して NTLM ハッシュを盗み出し、攻撃者が制御する SMB 共有に対して、ターゲットのデバイスを強制的に認証させるというものだ。

Microsoft 2023-3 月例アップデートは２件のゼロデイと 83件の脆弱性に対応

Microsoft March 2023 Patch Tuesday fixes 2 zero-days, 83 flaws

2023/03/14 BleepingComputer — 今日は Microsoft の March 2023 Patch Tuesday の日であり、このセキュリティ更新プログラムにより、活発に悪用されるゼロデイ脆弱性２件と、合計で 83件の不具合が修正された。また、Critical と評価された９つの脆弱性は、リモートコード実行／サービス拒否／特権昇格攻撃などにいたる恐れのあるものだ。