微软
微软本周警告,俄罗斯骇客Forest Blizzard(又名APT28或FancyBear)仍积极利用已于今年3月修补的零时差漏洞CVE-2023-23397来存取Exchange伺服器上的电子邮件帐号,发现相关攻击行动的则是波兰网路司令部(Polish Cyber Command)。
CVE-2023-23397是个藏匿于Outlook的权限扩张漏洞,骇客可传送MAPI属性包含通用命名规范(Universal Naming Convention,UNC)的恶意邮件,导致受害者连向骇客控制的外部SMB伺服器共享资料夹,让骇客经由取得受害者的Net-NTLMv2杂凑,借此发动NTLM Relay攻击,即可连到另一项服务,并冒用受害者身分完成验证存取。
当初该漏洞是由微软及乌克兰电脑网路危机处理小组(CERT)共同发现,而且已遭到俄罗斯骇客利用,这次的受害者则是波兰。波兰网路司令部指出,相关攻击同时锁定波兰的公家与私人机关,此外,波兰也已开发出一套可于Exchange电子邮件环境中执行的工具,以辨识及减轻相关威胁。
波兰网路司令部详细说明了骇客的攻击流程,指出成功的攻击将令骇客得以透过Exchange环境中任何被危害的电子邮件帐号,未经授权地存取高价值的邮件信箱。
微软则提醒,Forest Blizzard的攻击行动通常还会搭配其它安全漏洞,包括CVE-2021-40444、CVE-2021-42292、CVE-2021-42321、CVE-2021-34473、CVE-2020-17144 和CVE-2020-0688等。
美国与英国政府认为Forest Blizzard是由俄罗斯所支援的国家级骇客组织,与俄罗斯军事情报机构26165部队有关,主要攻击美国、欧洲与中东的政府、能源、交通及非政府组织。