-->
الصفحة الرئيسية

مايكروسوفت تحذر من استغلال ثغرة أمنية في التوقعات الخفية من قبل قراصنة روس

Almoktachif Computer Technologie
خط المقالة

 


شاركت Microsoft يوم الجمعة إرشادات لمساعدة العملاء على اكتشاف مؤشرات الاختراق (IoCs) المرتبطة بثغرة في Outlook تم تصحيحها مؤخرًا.

تم تتبعه باعتباره CVE-2023-23397 (درجة CVSS: 9.8) ، يتعلق الخلل الخطير بحالة تصعيد الامتياز التي يمكن استغلالها لسرقة تجزئات NT Lan Manager (NTLM) وتنظيم هجوم الترحيل دون الحاجة إلى أي تدخل من المستخدم.

وأشارت الشركة في تقرير استشاري صدر هذا الشهر إلى أن "المهاجمين الخارجيين قد يرسلون رسائل بريد إلكتروني معدة خصيصًا من شأنها إحداث اتصال من الضحية إلى موقع غير موثوق به لسيطرة المهاجمين".

"سيؤدي هذا إلى تسريب تجزئة Net-NTLMv2 للضحية إلى الشبكة غير الموثوق بها والتي يمكن للمهاجم بعد ذلك نقلها إلى خدمة أخرى والمصادقة على أنها الضحية."

تم حل الثغرة الأمنية بواسطة Microsoft كجزء من تحديثات Patch الثلاثاء لشهر مارس 2023 ، ولكن ليس قبل أن تقوم الجهات الفاعلة في مجال التهديد في روسيا بتسليح الخلل في الهجمات التي تستهدف قطاعات الحكومة والنقل والطاقة والقطاعات العسكرية في أوروبا.

قال فريق Microsoft للاستجابة للحوادث إنه عثر على دليل على استغلال محتمل للعيوب في وقت مبكر من أبريل 2022.

في إحدى سلسلة الهجمات التي وصفها عملاق التكنولوجيا ، مكّن هجوم Net-NTLMv2 Relay الناجح ممثل التهديد من الوصول غير المصرح به إلى خادم Exchange Server وتعديل أذونات مجلد صندوق البريد للوصول المستمر.


ثم تم استخدام حساب البريد الإلكتروني المخترق لتوسيع وصول الخصم داخل البيئة المعرضة للخطر عن طريق إرسال رسائل ضارة إضافية لاستهداف أعضاء آخرين في نفس المؤسسة.

قالت مايكروسوفت: "في حين أن الاستفادة من تجزئات NTLMv2 للحصول على وصول غير مصرح به إلى الموارد ليس أسلوبًا جديدًا ، فإن استغلال CVE-2023-23397 يعد أمرًا جديدًا وخفيًا" .

"يجب على المؤسسات مراجعة تسجيل أحداث SMBClient وأحداث Process Creation وغيرها من عمليات تتبع الشبكة المتاحة لتحديد الاستغلال المحتمل عبر CVE-2023-23397."

يأتي هذا الكشف في الوقت الذي أصدرت فيه وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) أداة جديدة مفتوحة المصدر للاستجابة للحوادث تساعد في اكتشاف علامات النشاط الضار في بيئات Microsoft السحابية.

قالت الوكالة إن الأداة المستندة إلى Python ، التي يطلق عليها اسم أداة Goose ، تقدم "أساليب مصادقة جديدة وجمع البيانات" لتحليل بيئات Microsoft Azure و Azure Active Directory و Microsoft 365.

في وقت سابق من هذا العام ، حثت Microsoft العملاء أيضًا على تحديث خوادم Exchange المحلية الخاصة بهم وكذلك اتخاذ خطوات لتعزيز شبكاتهم للتخفيف من التهديدات المحتملة.

author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق

    إرسال تعليق

    الاسمبريد إلكترونيرسالة