У Microsoft есть несколько отличных советов, которые помогут вам обнаружить недостатки безопасности Outlook

Microsoft выпустила новое руководство, которое поможет пользователям определить, пытался ли злоумышленник украсть конфиденциальные данные, воспользовавшись недавно исправленной уязвимостью нулевого дня, обнаруженной в Outlook почтовый клиент.

Уязвимость отслеживается как CVE-2023-23397 и описывается как уязвимость безопасности, связанная с повышением привилегий. в Windows, что позволяет злоумышленникам красть хэши NTLM без вмешательства жертвы на их стороне конечной точки. Атака называется NTLM-relay атакой с нулевым щелчком мыши.

Tarlogic описывает хэши NTLM как «криптографические форматы», в которых Windows хранит пароли пользователей. Эти хэши хранятся в диспетчере учетных записей безопасности (SAM) или в файле NTDS контроллера домена. «Они являются фундаментальной частью механизма, используемого для аутентификации пользователя с помощью различных протоколов связи», — говорится в сообщении.

Множественные признаки эксплуатации

Чтобы воспользоваться уязвимостью и украсть эти хэши, злоумышленник может отправить специально созданное сообщение с расширенными свойствами MAPI. Они будут содержать пути UNC (пути универсальных соглашений об именах, используемые для доступа к сетевым ресурсам) к общим ресурсам блока сообщений сервера (SMB), контролируемым злоумышленником.

Теперь вернемся к тому, что сделала Microsoft: софтверный гигант из Редмонда утверждает, что существует множество признаков эксплуатации, которые могут анализировать ИТ-команды: данные телеметрии от брандмауэров, прокси-серверов, инструментов VPN, журналы шлюза RDP, подпись Azure Active Directory. журналы -in для пользователей Exchange Online или журналы IIS для Exchange Server.