Інформація про вразливість нульового дня була опублікована Microsoft 14 березня 2023 і, за інформацією колег, уже зареєстровані випадки цілеспрямованих атак із використанням цієї вразливості на організації в Україні. CVE-2023-23397 активно використовується повсюдно, в публічному доступі вже є PoC коду експлойту. Держспецзв’язку рекомендує вжити додаткових заходів безпеки.
Рекомендації з блокування
Рекомендації щодо блокування загрози, якщо ви – не користувач Microsoft Office 365:
- Заблокувати на firewall вихідний SMB трафік і всі з’єднання в зовнішній світ на порти 445, 137-139 із внутрішньої мережі. Цей контрзахід є критичним і рекомендованим ще з 2017 після атаки ransomware NotPetya.
- Надіслати лист на всіх працівників організації від IT-команди про перехід на вебверсію та повідомлення щодо підозрілої активності в мережі (у разі її виявлення) – чи з доступом, чи з електронною поштою.
- Блокування виконання outlook.exe через групові політики до розгортання оновлення на Windows.
- Увімкнути логування і збір всіх логів у WEC сервер (windows event collector).
- Встановити виправлення через WSUS у межах домену і через групову політику.
- Через групові політики Active Directory активувати примусове SMB signing on clients and servers, щоб усунути можливість relay-атак Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options.
Додаткові рекомендації
Додатково рекомендується вимкнути LLMNR на всіх комп’ютерах у домені через механізм групових політик:
Local Computer Policy > Computer Configuration > Administrative Templates > Network > DNS Client.
А також відключити NBT-NS як інший вектор реалізації загрози, що часто використовується зловмисниками в мережах з доменом Active Directory:
Network Connections > Internet Protocol Version 4 > Properties > General > Advanced > WINS, «Disable NetBIOS over TCP/IP».
Якщо жертва відкрила лист – негайно змініть пароль і відстежуйте спроби автентифікації цього користувача у ваших системах.
Пошук спроб експлуатації в SIEM
Пошук контенту – Content-Type: application/ms-tnef; name=lrmng.txt через використання спеціальних Powershell скриптів від Microsoft для наземних інсталяцій Exchange
https://github.com/microsoft/CSS-Exchange/blob/a4c096e8b6e6eddeba2f42910f165681ed64adf7/docs/Security/CVE-2023-23397.md
Пошук спроб експлуатації в Splunk SIEM за Outlook Vulnerability (CVE-2023-23397)
index={your_index} sourcetype={your_4688_sourcetype} EventCode=4688 New_Process_Name=”*rundll32.exe*” Process_Command_Line=”*davclnt.dll*” New_Process_Name=”*DavSetCookie*” “davclnt” “rundll32” “DavSetCookie” | rex field=Process_Command_Line “DavSetCookie\s+(?<IP_Address>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})” | search (IP_Address!=”10.0.0.0/8″ AND IP_Address!=”192.168.0.0/16″ AND IP_Address!=”172.16.0.0/12″)
index={your_index} sourcetype={your_NTLM_audit_sourcetype} EventCode=8001| rex “\w+/(?<IP_Address>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})” | search (IP_Address!=”10.0.0.0/8″ AND IP_Address!=”192.168.0.0/16″ AND IP_Address!=”172.16.0.0/12″)
Пошук спроб експлуатації в SIEM IBM Qradar, якщо було увімкнене відповідне логування Microsoft Windows Security Event Log
and when the event matches EventID (custom) is any of 4688
and when the event matches ProcessName (custom) is any of rundll32.exe
and when the event matches Process CommandLine (custom) contains any of davclnt.dll
and when the event matches Process CommandLine (custom) matches any of expressions ((?:1\d{2}|2[0-4]\d|25[0-5]|[1-9]\d|[1-9])(?:\.(?!$)|$)){4}
