Інформація про 0-day вразливість була опублікована Microsoft 14 березня 2023 і, за інформацією колег, уже зареєстровані випадки цілеспрямованих атак із використанням цієї вразливості на організації в Україні. CVE-2023-23397 активно використовується повсюдно, в публічному доступі вже є PoC коду експлойту. Ми рекомендуємо вжити додаткових заходів безпеки.

Рекомендації щодо блокування загрози, якщо ви – не користувач Microsoft Office 365:

1. Заблокувати на firewall вихідний SMB трафік і всі з'єднання в зовнішній світ на порти 445, 137-139 із внутрішньої мережі. Цей контрзахід є критичним і рекомендованим ще з 2017 після атаки ransomware NotPetya.

2. Надіслати лист на всіх працівників організації від IT-команди про перехід на вебверсію та повідомлення щодо підозрілої активності в мережі (у разі її виявлення) – чи з доступом, чи з електронною поштою.

3. Блокування виконання outlook.exe через групові політики до розгортання оновлення на Windows.

4. Увімкнути логування і збір всіх логів у WEC сервер (windows event collector).

5. Встановити виправлення через WSUS у межах домену і через групову політику.

6. Через групові політики Active Directory активувати примусове SMB signing on clients and servers, щоб усунути можливість relay-атак Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options.

Додатково рекомендується вимкнути LLMNR на всіх комп'ютерах у домені через механізм групових політик:

Local Computer Policy > Computer Configuration > Administrative Templates > Network > DNS Client.

А також відключити NBT-NS як інший вектор реалізації загрози, що часто використовується зловмисниками в мережах з доменом Active Directory:

Network Connections > Internet Protocol Version 4 > Properties > General > Advanced > WINS, “Disable NetBIOS over TCP/IP”.

Якщо жертва відкрила лист – негайно змініть пароль і відстежуйте спроби автентифікації цього користувача у ваших системах.

За матеріалами: https://www.facebook.com/dsszzi