Bleeping Computer 網(wǎng)站消息，微軟威脅情報團(tuán)隊近期發(fā)布警告稱，疑似具有俄羅斯國家背景的網(wǎng)絡(luò)攻擊組織 APT28（又名 "Fancybear "或 "Strontium"）正在積極利用 CVE-2023-23397 Outlook 漏洞，劫持微軟 Exchange 賬戶并竊取敏感信息。

此外，微軟威脅情報團(tuán)隊強(qiáng)調(diào) APT28 在網(wǎng)絡(luò)攻擊活動中還利用了 WinRAR 中存在的 CVE-2023-38831 漏洞和 Windows MSHTML 中的 CVE-2021-40444 等公開安全漏洞，其瞄準(zhǔn)的攻擊目標(biāo)主要包括美國、歐洲和中東的政府、能源、交通和其他重要組織。

Outlook 漏洞利用背景

CVE-2023-23397 是 Windows 上 Outlook 中一個關(guān)鍵權(quán)限提升 (EoP) 漏洞，APT28 威脅組織自 2022 年 4 月以來一直在利用該漏洞，通過特制的 Outlook 筆記竊取 NTLM 哈希值，迫使目標(biāo)設(shè)備在不需要用戶交互的情況下向攻擊者控制的 SMB 共享進(jìn)行身份驗證。

不僅如此，APT28 威脅組織還通過提升系統(tǒng)權(quán)限（事實(shí)證明這并不復(fù)雜），在受害目標(biāo)的環(huán)境中進(jìn)行橫向移動，并更改 Outlook 郵箱權(quán)限，從而實(shí)施有針對性的電子郵件盜竊。更糟糕的是，盡管后來提供了安全更新和緩解建議，但仍然存在很大的攻擊面。

Recorded Future 在 6 月份警告說，APT28 威脅組織很可能利用 Outlook 漏洞攻擊烏克蘭的重要組織，10 月份，法國網(wǎng)絡(luò)安全局（ANSSI）又披露俄羅斯黑客利用漏洞攻擊了法國的政府實(shí)體、企業(yè)、大學(xué)、研究機(jī)構(gòu)和智庫。

網(wǎng)絡(luò)攻擊活動仍在持續(xù)進(jìn)行中

微軟發(fā)布最新警告表示，GRU 黑客仍在利用 CVE-2023-38831 安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊，因此仍有系統(tǒng)易受關(guān)鍵 EoP 漏洞的影響。此外，微軟還提到波蘭網(wǎng)絡(luò)指揮中心（DKWOC）在幫助檢測和阻止網(wǎng)絡(luò)攻擊方面所采取的措施，DKWOC 發(fā)布一篇文章，詳細(xì)描述了 APT28 如何利用 CVE-2023-38831 安全漏洞，進(jìn)行網(wǎng)絡(luò)攻擊活動。

強(qiáng)烈建議用戶立即采取以下安全措施（按優(yōu)先級排列）：

• 應(yīng)用針對 CVE-2023-23397 及其旁路 CVE-2023-29324 的可用安全更新。
• 使用 Microsoft 提供的此腳本檢查是否有 Exchange 用戶成為攻擊目標(biāo)。
• 重置受攻擊用戶的密碼，并為所有用戶啟用 MFA(多因素身份驗證)。
• 通過阻止所有入站 IP 地址與端口 135 和 445 的連接來限制 SMB 流量禁用環(huán)境中的 NTLM。

最后，網(wǎng)絡(luò)安全專家指出，鑒于 APT28 是一個“資源豐富”、適應(yīng)性強(qiáng)的網(wǎng)絡(luò)威脅攻擊組織，常規(guī)網(wǎng)絡(luò)防御措施很難起到效果，最有效的防御策略是減少所有接口的攻擊面，并確保所有軟件產(chǎn)品定期更新最新的安全補(bǔ)丁。

參考文章：https://www.bleepingcomputer.com/news/microsoft/russian-hackers-exploiting-outlook-bug-to-hijack-exchange-accounts/