Microsoft ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย Outlook zero-click เพิ่มเติม เนื่องจากพบว่า Hacker สามารถ bypass แพตซ์อัปเดตของช่องโหว่ Microsoft Outlook Elevation of Privilege Vulnerability (CVE-2023-23397) ได้
โดยช่องโหว่ zero-click bypass มีชื่อว่า Windows MSHTML Platform Security Feature Bypass Vulnerability หรือ CVE-2023-29324 (คะแนนCVSS 6.5/10 ระดับความรุนแรงปานกลาง) โดยส่งผลกระทบต่อ Outlook client ใน Windows รุ่นที่รองรับทั้งหมด
ก่อนหน้านี้ช่องโหว่ของ Microsoft Outlook Elevation of Privilege Vulnerability หรือ CVE-2023-23397 (คะแนนCVSS 9.8/10 ระดับความรุนแรง Critical) เป็นช่องโหว่ในการยกระดับสิทธิ์ใน Outlook client สำหรับ Windows ที่ทำให้ Hacker สามารถขโมย NTLM Hash โดยที่ผู้ใช้ไม่ต้องโต้ตอบใด ๆ เพื่อนำไปใช้ในการโจมตีแบบ NTLM-relay attack ได้
โดย Hacker จะส่งข้อความแบบ MAPI properties ที่มี UNC paths ที่ถูกกำหนดค่าไว้ ทำให้ Outlook client เชื่อมต่อกลับไปยัง SMB shares ที่อยู่ภายใต้การควบคุมของ Hacker ได้
ช่องโหว่ดังกล่าวได้ถูกแก้ไขไปแล้วในเดือนมีนาคม 2023 ซึ่งทาง Microsoft ได้แก้ไขปัญหาด้วยการรวมการเรียก MapUrlToZone เพื่อให้แน่ใจว่า UNC paths ไม่เชื่อมต่อกับ URL อินเทอร์เน็ต รวมถึงแทนที่ notification sound ด้วยค่าเริ่มต้น
.png)
ช่องโหว่ถูกใช้โดยกลุ่ม Hacker ชาวรัสเซียเพื่อขโมยข้อมูล
Microsoft เปิดเผยในรายงานการวิเคราะห์ภัยคุกคาม พบว่ากลุ่ม Hacker ชื่อ APT28 ของรัสเซีย (หรือเรียกอีกอย่างว่า STRONTIUM , Sednit, Sofacy และ Fancy Bear) ได้ใช้ช่องโหว่ดังกล่าวเพื่อโจมตีองค์กรรัฐบาล กองทัพ พลังงาน และการขนส่งอย่างน้อย 14 แห่ง ระหว่างกลางเดือนเมษายน ถึงเดือนธันวาคม 2022
โดย Hacker จะใช้ Outlook notes ที่เป็นอันตรายเพื่อขโมย NTLM hashes โดยบังคับให้อุปกรณ์ของเป้าหมายเชื่อมต่อกับ SMB shares ที่ถูกควบคุมโดย Hacker รวมถึงข้อมูลประจำตัวที่ถูกขโมยเหล่านี้ จะถูกใช้สำหรับเข้าถึง และแพร่กระจายในเครือข่ายของเหยื่อ และเพื่อเปลี่ยน permissions บน Outlook เพื่อสามารถขโมยข้อมูลที่สำคัญในอีเมล
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น