Microsoft fixes Outlook zero-day used by Russian hackers since April 2022
Microsoft ได้ออกแพตช์สำหรับช่องโหว่ CVE-2023-23397 ซึ่งเป็นช่องโหว่ Zero-day ที่ถูกใช้ในการโจมตีมาตั้งแต่ช่วงเดือนเมษายนปีที่แล้ว ได้มุ่งเป้าในการโจมตีไปยังองค์กรในยุโรปเป็นหลัก โดยมีเหยื่อมากกว่า 15 รายและกระจายไปหลายกลุ่มธุรกิจ รวมถึงหน่วยงานราชการ กลุ่มแฮกเกอร์ที่ใช้ช่องโหว่ CVE-2023-23397 นี้ถูกเชื่อมโยงไปยังกลุ่มแฮกเกอร์หลายกลุ่มในรัสเซีย เช่น APT28, STRONTIUM, Sednit, Sofacy และ Fancy Bear
ในการโจมตีนั้นจะทำการส่ง Outlook note และ Tasks ชนิดพิเศษเพื่อโจมตีไปยัง Outlook Client จนทำให้สามารถขโมย NTLM Hash ออกมาได้ หลังจากนั้นจะใช้ Credential ที่ได้มาเพื่อนำไปใช้ร่วมการโจมตีอื่นๆ เช่น แทรกซึมเข้าไปในเครือข่าย หรือทำการเข้าถึง Mailbox ของบัญชีนั้นๆ
ช่องโหว่นี้ส่งผลกระทบกับ Microsoft Outlook for Windows แต่ไม่มีผลกับ Outlook for Android, iOS, macOS และ Outlook on web ซึ่ง Microsoft ได้เตือนผู้ดูแลระบบจำกัดการใช้งาน outbound SMP (TCP port 445) ชั่วคราว หากยังไม่ได้สามารถแพตช์ได้ทัน เพื่อลดโอกาสถูกโจมตี นอกจากนี้ Microsoft ยังปล่อย PowerShell Script ที่ใช้ตรวจสอบการโจมตีนี้ออกมาอีกด้วย โดย Script สามารถแก้ไขหรือลบข้อความพิเศษที่ใช้โจมตีบน Exchange Server ได้
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-outlook-zero-day-used-by-russian-hackers-since-april-