CVE-2023-23397 のエクスプロイトを検出: ヨーロッパの政府や軍事機関を標的とする Microsoft Outlook の重大な権限昇格脆弱性

サイバー防衛者のためのセキュリティの警告！マイクロソフトは最近、Microsoft Outlook for Windowsに影響を与える、攻撃者がターゲットとしたインスタンスからハッシュパスワードをダンプできる重大な特権昇格の脆弱性（CVE-2023-23397）を修正しました。注目すべきことに、この欠陥は2022年4月以来、ゼロデイとして野外で利用され、政府、軍、ヨーロッパの重要インフラ組織に対するサイバー攻撃で使用されています。

CVE-2023-23397 検出

広く使用されているソフトウェア製品に影響を及ぼすセキュリティ欠陥の数が増え続ける中、 脆弱性の利用を事前に検出すること は、2021-2022年の主要なセキュリティユースケースの一つであり、依然として首位を保持しています。CVSSスコアで9.8の重大度評価を持つ、CVE-2023-23397として追跡される悪名高い特権昇格の脆弱性は、すべてのバージョンのMicrosoft Outlookに影響を与えます。このMicrosoft Outlookの脆弱性は、野外で積極的に悪用されており、攻撃者によって悪用される場合、これらの人気あるマイクロソフト製品に依存する組織に深刻な脅威を引き起こす可能性があります。組織が敵対者の活動をタイムリーに発見し、CVE-2023-23397の利用パターンを事前に検出できるよう支援するため、SOC Primeチームは最近、関連するSigmaルールをリリースしました。以下のリンクを辿り、MITRE ATT&CKフレームワークv12にマッピングされ、業界をリードするSIEM、EDR、XDRソリューションに即座に変換可能な、これらの検出に瞬時にアクセスしてください。

可能なMicrosoft Outlook [CVE-2023-23397] 利用パターン (via process_creation)

このSigmaルールは、主要技術として強制認証（T1187）を使用した資格情報アクセスの戦術に対応しています。

疑わしい場所でスタンドアロンメッセージファイルを開くために使用されたOutlook (via cmdline)

上記のSigmaルールはまた、フィッシング（T1566）技術によって表現される初期アクセス戦術と共に、強制認証（T1187）技術での資格情報アクセスの戦術に対応しています。

をクリックすると、 検出を探る ボタンを押すことで、組織はCVE-2023-23397の利用試みと関連する悪意のある行動を識別するのに役立つさらなる検出アルゴリズムに即座にアクセスできます。脅威調査の合理化のために, チームはATT&CKとCTIのリファレンスを含む関連メタデータに深く掘り下げることもできます。

検出を探る

チームはまた、最大限に利用することができます SOC Primeのクイックハントモジュール CVE-2023-23397の利用試みに関連する脅威を検索します。ニーズに基づいて検証済みクエリのリストをフィルタリングするためにカスタムタグ「CVE-2023-23397」を適用し、プラットフォームと環境を選択して、脅威の調査にかかる時間を削減します。

Microsoft Outlookゼロデイ解析：CVE-2023-23397

2023年3月のパッチ火曜日は、すべてのバージョンのMicrosoft Outlook for Windows影響を与える悪名高い特権昇格の脆弱性（CVE-2023-23397）に光を当てました。このバグは、攻撃者が悪意のある電子メールを被害者に送信することで、NTLMクレデンシャルを奪取できるようにします。以下は Microsoftによる勧告、ユーザーの介入は不要で、電子メールがメールサーバーによって取得および処理されたときに自動的にトリガーされます。

NTLM認証はリスクがあるとみなされているにもかかわらず、新しいシステムでも古いものと互換性を持たせるために利用されています。この場合の認証は、サーバーが共有リソースにアクセスするクライアントから取得したパスワードハッシュを使って行われます。CVE-2023-23397は、ハッカーがこれらのハッシュを盗み、それを用いて対象のネットワークに対する認証を成功させることを可能にします。

この脆弱性は最初に発見されました。 ウクライナ CERT と、Microsoftのインシデントおよび脅威インテリジェンスチームによってさらに調査されました。 マイクロソフトの研究者 は、ロシア支援の脅威アクターによって行われたヨーロッパの組織を対象としたサイバー攻撃のためにその利用試みを帰属しました。

サイバーセキュリティ研究者は、その悪意ある活動が APT28 （または Fancy Bear APTまたはUAC-0028）として追跡される悪名高いロシア国家バックのハッキング集団ウクライナの特別通信情報保護サービス（ウクライナの特別通信情報保護サービス（ コバルトストライクビーコン や、さまざまなサンプルの CredoMapマルウェア を侵害されたシステムに拡散しました。

潜在的な緩和措置として、サイバーディフェンダーはCVE-2023-23397の適時パッチを推奨し、ExchangeのメッセージがUNCパスを使用していることを検証し、脆弱性の利用の痕跡がないことを確認するためのMicrosoftのスクリプトを適用することをお勧めします。

関連する敵対者のTTPを常に手元に置くことで、あらゆるサイバー脅威に常に先んじ、検出を確保する方法を探していますか？現在および新たに発生するCVEをタイムリーに特定してサイバーセキュリティ体制を強化するために、800以上のルールへのアクセスを得てください。 140+のSigmaルールを無料で手に入れる , または https://my.socprime.com/pricing/