提供了关于Outlook零日利用的更多细节 传媒
俄罗斯网络威胁活动利用微软Outlook漏洞
关键要点
- 俄罗斯国家赞助的持续威胁活动正在利用一个已修复的微软Outlook关键零日漏洞(CVE-2023-23397)。
- 该漏洞自去年四月起就被利用,攻击者通过该漏洞泄露Net-NTLMv2哈希,进一步获取凭证、进行横向移动以及在受损的Outlook账户中保持持久访问。
- 微软建议组织加强威胁猎取策略,细致审查可疑消息、日历项目及用户报告的任务,并分析网络和终端日志。
根据的报道,俄罗斯的国家赞助高级持久性威胁活动早在去年四月就开始利用微软Outlook中的一个已经被修复的关键零日漏洞(CVE-2023-23397)。攻击者利用这一漏洞,导致Net- NTLMv2哈希泄露,这被用于获取初始访问权限和凭证,同时也用于在被入侵的Outlook账户中进行横向移动和保持持久性。
根据微软的报告,这些利用该漏洞的攻击留下了“非常有限的取证痕迹”,这使得端点取证系统难以进行分析。因此,微软建议组织应加强威胁猎取策略,包括:
| 加强措施 | 详情 |
|---|---|
| 审查可疑消息 | 关注可疑的电子邮件、日历项目以及用户报告的任务。 |
| 评估网络和终端日志 | 审查网络和终端的日志记录,找到异常活动的线索。 |
| 检查消息扫描 | 对已投递的消息进行扫描,特别是含有PidLidReminderFileParameter的消息。 |
| 审查外部资源的NTLM认证 | 对不可信的外部资源的NTLM认证进行详细检查。 |
| 分析SMBClient事件日志 | 关注SMB相关的事件日志记录,寻找潜在的安全威胁。 |
| 监控WebDAV连接尝试 | 尤其是那些基于进程执行的连接尝试。 |
| 检查防火墙日志 | 监控出站SMB连接的防火墙日志。 |
微软还提供了针对该漏洞的检测脚本,以帮助组织发现潜在的利用情况。组织应立即采取措施,确保其系统和数据的安全,防止类似攻击的发生。
Recent Posts
注册优惠
Leave a Reply