חולשה באאוטלוק מנוצלת על ידי האקרים רוסים כדי לגנוב מידע רגיש

מאמר שפורסם באתר Bleeping Computer מציג חולשה ב-Outlook אשר מנוצלת על ידי האקרים רוסים בכדי להשיג גישה לחשבונות Microsoft Exchange ולגנוב מידע רגיש.

קבוצת התקיפה Fancybear, המכונה גם APT28 או Strontium, הינה קבוצת תקיפה במימון רוסיה.

הקבוצה מנצלת חולשה ב-Microsoft Outlook (CVE-2023-23397) המאפשרת פריצה לחשבונות Microsoft Exchange וגניבת מידע רגיש.

המתקפה כוונה נגד גופים שונים, כולל ממשלה, אנרגיה, ותחבורה בארה"ב, אירופה והמזרח התיכון.

הניצול של החולשה כולל שימוש בהערות Outlook מיוחדות שגונבות אשכולות NTLM (פרוטוקול אימות), ומאפשרות לפורצים לגשת ולשלוט במערכות הקורבנות ללא צורך באינטראקציה משתמש.

קבוצת התקיפה מנצלת את החולשה הזו לפחות מאפריל 2022, ולמרות הפצת עדכוני אבטחה על ידי מיקרוסופט, המתקפות ממשיכות, מה שמדגיש את הצורך בערנות גבוהה ובצעדי סייבר אבטחה מעודכנים.

בחברת אבטחת המידע ESET מתייחסים לפעילות הזדונית ואומרים כי "מדובר בשימוש בשיטות מתוחכמות המופעלות כדי לסכן מערכות ללא אינטראקציה של המשתמש. ניצול של פגיעויות כאלה מהווה סיכון מהותי לאבטחת הסייבר של ארגונים, במיוחד אלה במגזרים רגישים.

חשוב שכל הארגונים המושפעים יבצעו את עדכוני האבטחה האחרונים שסיפקה מיקרוסופט עבור CVE-2023-23397 ועקיפתו - CVE-2023-29324. אנו ממליצים ליישם אימות רב-גורמי (MFA) עבור כל המשתמשים, לאפס סיסמאות לחשבונות שנפגעו ולהגביל תעבורת SMB כדי לחזק את ההגנות מפני התקפות מסוג זה. ניטור ועדכון רציפים של מערכות אבטחה הם הכרחיים כדי להגן מפני גורמי איומים מתוחכמים שכאלה".

'בחדרי' גם ברשתות החברתיות - הצטרפו!