เมนู

กลุ่ม APT28 (รัสเซีย) โจมตีผู้ใช้ Outlook ด้วยการรันคำสั่งที่ไม่ได้รับอนุญาต โดยใช้เทคนิคยกระดับสิทธิ์ตัวเองในระบบ

10 พฤษภาคม | สืบสาย โสดานิล

แฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่งระบุว่าเป็น APT28 หรือ Fancy Bear ได้ใช้ประโยชน์จากช่องโหว่ (CVE-2023-23397) ที่สําคัญใน Microsoft Outlook เพื่อเข้าครอบครองบัญชีอีเมล โดยกลุ่ม APT28 ซึ่งมีความเกี่ยวข้องกับหน่วยข่าวกรองทางทหารของรัสเซีย (GRU) ได้มุ่งเป้าการโจมตีไปยังหน่วยงานรัฐบาล ภาคพลังงาน ระบบขนส่ง รวมถึงองค์กรสําคัญอื่นๆ ทั่วสหรัฐอเมริกา ยุโรป และ ตะวันออกกลาง

การโจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2023-23397 มักมีลักษณะดังนี้:
การส่งอีเมลที่เป็นอันตราย: ผู้โจมตีจะส่งอีเมลที่สร้างขึ้นไปยังเหยื่อ อีเมลนี้อาจมีลักษณะที่ดึงดูดความสนใจ หรือ ดูเหมือนว่ามาจากแหล่งที่น่าเชื่อถือ
ไฟล์แนบที่เป็นอันตราย: อีเมลอาจมีไฟล์แนบที่เป็นอันตราย ซึ่งมักจะเป็นไฟล์.msg (ไฟล์ข้อความ Outlook) ที่สร้างขึ้นเป็นพิเศษ
การเรียกใช้โค้ดที่เป็นอันตราย: เมื่อเหยื่อเปิดอีเมลหรือไฟล์แนบ โค้ดที่เป็นอันตรายจะถูกเรียกใช้บนคอมพิวเตอร์ของเหยื่อโดยอัตโนมัติ 
การขโมยข้อมูลส่วนตัว: โค้ดดังกล่าวจะพยายามขโมยข้อมูลประจำตัวของเหยื่อ เช่น ชื่อผู้ใช้และรหัสผ่าน และมักจะส่งข้อมูลนี้ไปยังเซิร์ฟเวอร์ของผู้โจมตี
การเข้าถึงระบบ: เมื่อผู้โจมตีได้ข้อมูลประจำตัวของเหยื่อแล้ว พวกเขาสามารถใช้ข้อมูลนี้เพื่อเข้าถึงระบบขององค์กรได้

ตัวอย่างของการโจมตีที่ใช้ประโยชน์จาก CVE-2023-23397:
การโจมตีแบบกำหนดเป้าหมาย: ผู้โจมตีอาจส่งอีเมลที่เป็นอันตรายไปยังบุคคลที่เฉพาะเจาะจงภายในองค์กร เช่น ผู้บริหารระดับสูงหรือผู้ดูแลระบบ
การโจมตีแบบสุ่ม: ผู้โจมตีอาจส่งอีเมลที่เป็นอันตรายไปยังผู้ใช้จำนวนมาก โดยหวังว่าจะมีบางคนที่เปิดอีเมลหรือไฟล์แนบ
การโจมตีแบบผสม: ผู้โจมตีอาจรวมการโจมตีแบบกำหนดเป้าหมายและการโจมตีแบบสุ่มเข้าด้วยกัน

รายละเอียดของช่องโหว่
ช่องโหว่: CVE-2023-23397 เป็นช่องโหว่เกี่ยวกับการยกระดับสิทธิ์ (Elevation of Privilege Vulnerability)
ซอฟต์แวร์ที่ได้รับผลกระทบ: Microsoft Outlook บน Windows

วิธีการโจมตี: ผู้โจมตีสามารถสร้างไฟล์ข้อความ (.msg) ที่มีคุณสมบัติ PidLidReminderFileParameter แบบกำหนดเอง โดยมีเส้นทาง Universal Naming Convention (UNC) ที่ชี้ไปยังเซิร์ฟเวอร์ Server Message Block (SMB) ที่ผู้โจมตีควบคุม
– ผลกระทบ: เมื่อผู้ใช้เปิดอีเมลที่เป็นอันตราย ข้อมูลประจำตัว NTLM ของผู้ใช้จะถูกส่งไปยังเซิร์ฟเวอร์ SMB ที่ผู้โจมตีควบคุมโดยอัตโนมัติ ทำให้ผู้โจมตีสามารถขโมยข้อมูลประจำตัวของผู้ใช้และเข้าถึงระบบขององค์กรได้
– ความรุนแรง: ช่องโหว่นี้ถือว่ามีความรุนแรงสูง โดยมีคะแนน CVSS 3.1 อยู่ที่ 9.8

ระบบหรือผลิตภัณฑ์ที่ได้รับผลกระทบ
• Exchange Server 2013
• Exchange Server 2016
• Exchange Server 2019

คำแนะนำหรือแนวทางแก้ไข
ใช้การอัปเดตความปลอดภัยที่พร้อมใช้งานสําหรับช่องโหว่ CVE-2023-23397 ดังนี้

1. Exchange Server 2013 ผู้ใช้งานสามารถดาวน์โหลด Security Update ตามลิงก์นี้
https://www.microsoft.com/en-us/download/details.aspx?id=105092

2. Exchange Server 2016 ผู้ใช้งานสามารถดาวน์โหลด Security Update ตามลิงก์นี้
https://www.microsoft.com/en-us/download/details.aspx?id=105091

3. Exchange Server 2019 ผู้ใช้งานสามารถดาวน์โหลด Security Update ตามลิงก์นี้
https://www.microsoft.com/en-us/download/details.aspx?id=105090 
https://www.microsoft.com/en-us/download/details.aspx?id=105089

– ปิดใช้งานบริการที่ไม่จําเป็นบน Exchange Server
จํากัดการรับส่งข้อมูล SMB โดยการบล็อกการเชื่อมต่อกับพอร์ต 135 และ 445 จาก IP ขาเข้าทั้งหมด
ปิดการใช้งาน NTLM บน SMB ช่วยเพิ่มความปลอดภัย

ข้อมูลอ้างอิง