El equipo de Inteligencia de amenazas de Microsoft emitió una advertencia sobre el actor patrocinado por el estado ruso APT28 (también conocido como «Fancybear», Forest Blizzard o «Strontium») que explota activamente la falla CVE-2023-23397 de Outlook para secuestrar cuentas de Microsoft Exchange y robar información confidencial.
Las entidades objetivo incluyen el gobierno, la energía, el transporte y otras organizaciones clave en los Estados Unidos, Europa y Medio Oriente.
El gigante tecnológico también destacó la explotación de otras vulnerabilidades con exploits disponibles públicamente en los mismos ataques, incluidos CVE-2023-38831 en WinRAR y CVE-2021-40444 en Windows MSHTML.
Antecedentes de explotación de fallas de Outlook
CVE-2023-23397 es una vulnerabilidad crítica de elevación de privilegios (EoP) en Outlook en Windows, que Microsoft solucionó como Zero-Day en marzo de 2023.
La divulgación de la falla vino con la revelación de que APT28 la había estado explotando desde abril de 2022 a través de notas de Outlook especialmente diseñadas para robar hashes NTLM, lo que obligaba a los dispositivos objetivo a autenticarse en recursos compartidos SMB controlados por el atacante sin requerir la interacción del usuario.
Al elevar sus privilegios en el sistema, lo cual resultó sencillo, APT28 realizó un movimiento lateral en el entorno de la víctima y cambió los permisos del buzón de Outlook para realizar un robo de correo electrónico dirigido.
A pesar de la disponibilidad de actualizaciones de seguridad y recomendaciones de mitigación, la superficie de ataque siguió siendo significativa y la omisión de la solución (CVE-2023-29324) que siguió en mayo empeoró la situación.
Recorded Future advirtió en junio que APT28 probablemente aprovechó la falla de Outlook contra organizaciones ucranianas clave. En octubre, la agencia francesa de ciberseguridad (ANSSI) reveló que los delincuentes informáticos rusos habían utilizado el ataque de Zero-Click contra entidades gubernamentales, empresas, universidades, institutos de investigación y grupos de expertos en Francia.
La última advertencia de Microsoft destaca que los atacantes de GRU todavía aprovechan CVE-2023-38831 en los ataques, por lo que todavía hay sistemas que siguen siendo vulnerables a la falla crítica de EoP.
La empresa de tecnología también destacó el trabajo del Centro de Comando Cibernético Polaco (DKWOC) para ayudar a detectar y detener los ataques. DKWOC también publicó un informe que describe la actividad de APT28 que aprovecha CVE-2023-38831.
La acción recomendada a tomar ahora mismo, enumerada por prioridad, es la siguiente:
- Aplicar las actualizaciones de seguridad disponibles para CVE-2023-23397 y su derivación CVE-2023-29324.
- Utilizar este script de Microsoft para comprobar si se ha atacado a algún usuario de Exchange.
- Restablecer las contraseñas de los usuarios comprometidos y habilitar MFA (autenticación multifactor) para todos los usuarios.
- Limitar el tráfico SMB bloqueando las conexiones a los puertos 135 y 445 desde todas las direcciones IP entrantes
- Deshabilitar NTLM en el entorno.
Dado que APT28 es un grupo de amenazas muy ingenioso y adaptable, la estrategia de defensa más eficaz es reducir la superficie de ataque en todas las interfaces y garantizar que todos los productos de software se actualicen periódicamente con los últimos parches de seguridad.
Fuente y redacción_: segu-info.com.ar
