Інформація про 0-day вразливість була опублікована Microsoft 14 березня 2023 і, за інформацією колег, уже зареєстровані випадки цілеспрямованих атак із використанням цієї вразливості на організації в Україні. CVE-2023-23397 активно використовується повсюдно, в публічному доступі вже є PoC коду експлойту. Ми рекомендуємо вжити додаткових заходів безпеки.
Рекомендації щодо блокування загрози, якщо ви – не користувач Microsoft Office 365:
1. Заблокувати на firewall вихідний SMB трафік і всі з'єднання в зовнішній світ на порти 445, 137-139 із внутрішньої мережі. Цей контрзахід є критичним і рекомендованим ще з 2017 після атаки ransomware NotPetya.
2. Надіслати лист на всіх працівників організації від IT-команди про перехід на вебверсію та повідомлення щодо підозрілої активності в мережі (у разі її виявлення) – чи з доступом, чи з електронною поштою.
3. Блокування виконання outlook.exe через групові політики до розгортання оновлення на Windows.
4. Увімкнути логування і збір всіх логів у WEC сервер (windows event collector).
5. Встановити виправлення через WSUS у межах домену і через групову політику.
6. Через групові політики Active Directory активувати примусове SMB signing on clients and servers, щоб усунути можливість relay-атак Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options.
Додатково рекомендується вимкнути LLMNR на всіх комп'ютерах у домені через механізм групових політик:
Local Computer Policy > Computer Configuration > Administrative Templates > Network > DNS Client.
А також відключити NBT-NS як інший вектор реалізації загрози, що часто використовується зловмисниками в мережах з доменом Active Directory:
Network Connections > Internet Protocol Version 4 > Properties > General > Advanced > WINS, “Disable NetBIOS over TCP/IP”.
Якщо жертва відкрила лист – негайно змініть пароль і відстежуйте спроби автентифікації цього користувача у ваших системах.
За матеріалами: https://www.facebook.com/dsszzi