Исследование

Уязвимость CVE-2023-23397: комплексный анализ образцов первичной атаки

14 марта 2023 года компания Microsoft опубликовала в своем блоге пост о критической уязвимости в Outlook (9,8 баллов по системе CVSS), позволяющей повысить привилегии пользователя. Пост вызвал бурную реакцию в кругах ИБ-экспертов, серых хакеров и злоумышленников, а также породил множество публикаций и твитов о CVE-2023-23397 и эксплойтах к ней. В этой статье мы рассмотрим ключевые особенности этой уязвимости и разберемся, как ее эксплуатировали киберпреступники до появления вышеупомянутой публикации.

Уязвимость затронула все версии клиента Microsoft Outlook для Windows, но не коснулась Outlook для Android, iOS и macOS, а также веб-версии Outlook и других служб Microsoft 365.

Уязвимость CVE-2023-23397

С технической точки зрения, перед нами критическая уязвимость с возможностью эскалации привилегий. Эксплуатация происходит так: злоумышленник отправляет жертве объект Outlook (задачу, сообщение или событие календаря) с расширенным свойством MAPI, содержащим UNC-путь к SMB-ресурсу на сервере атакующего, что позволяет тому заполучить хэш Net-NTLMv2. Для этого не нужны какие-либо действия пользователя. Данные хэша становятся известны злоумышленникам уже в тот момент, когда пользователь видит напоминание, даже до получения сообщения. Однако уже истекшее напоминание будет срабатывать немедленно после получения объекта!

При подключении к удаленному серверу по SMB хэш Net-NTLMv2 пользователя отправляется в сообщении о согласовании. Украденный хэш злоумышленник может использовать, чтобы:

  • ретранслировать аутентификацию на другие системы с поддержкой NTLMv2;
  • извлечь пароль в офлайн-режиме.

Примечание. Хэши NTLMv2 не подходят для реализации атаки Pass-the-Hash.

Описанный хэш Net-NTLMv2 будет принадлежать текущему пользователю Windows, который запустил приложение Outlook. При этом неважно, кому именно было адресовано вредоносное сообщение. Если пользователь не отклоняет напоминание (или оповещение о задаче в Outlook) или же если напоминание повторяется (т. е. срабатывает несколько раз), то хэш Net-NTLMv2 пользователя может быть перехвачен несколько раз.

Исправление уязвимости

Для закрытия CVE-2023-23397 в код Outlook внесли следующее исправление: теперь функция PlayReminderSound() сначала вызывает IsFileZoneLocalIntranetOrTrusted(), которая, в свою очередь, использует функцию MapUrlToZone(), разрешающую SMB URI только из доверенной и (или) локальной зоны. Это означает, что UNC-пути к локальным внутрисетевым и доверенным ресурсам все еще остаются в зоне риска даже на клиенте Microsoft Outlook с установленным патчем (ведь уязвимость все еще может быть использована через SMB в локальной зоне).

По всей видимости, официальное исправление можно легко обойти путем составления вредоносного UNC-пути в определенном формате, что ставит под угрозу даже пропатченный клиент. Лазейка с обходом исправления была закрыта в мае 2023 года (CVE-2023-29324). Предыдущее исправление по-прежнему действует на стороне сервера, благодаря чему атака не может проходить через Exchange-сервер с исправлением к CVE-2023-23397, так как оно удаляет расширенное свойство MAPI, содержащее вредоносный UNC-путь на любом объекте, находящемся в пути.

Протокол WebDAV

В руководстве Microsoft по расследованию инцидентов, связанных с CVE-2023-23397, есть следующая заметка о протоколе WebDAV (здесь и далее приведен перевод):
«Обратите внимание: при условии взаимодействия по протоколу WebDAV клиент не подвержен риску утечки учетных данных в результате описанной атаки. Инфраструктура злоумышленников может запросить аутентификацию Net-NTLMv2, но Windows не будет передавать хэши Net-NTLMv2 в небезопасные сегменты сети. Другими словами, уязвимость затрагивает только протокол SMB. Если устройство жертвы может взаимодействовать с инфраструктурой атакующих по порту 445 (SMB), то хэши Net-NTLMv2 могут быть скомпрометированы. Однако если такое взаимодействие по SMB невозможно, Windows перейдет к использованию протокола WebDAV. WebDAV установит соединение с инфраструктурой злоумышленников, но хэши Net-NTLMv2 отправлены не будут».

Похоже, в WebDAV уже реализованы нужные проверки в отношении локальных внутрисетевых и доверенных ресурсов. Microsoft считает атаку успешной, только если данные утекают во внешнюю сеть. Таким образом, можно логически предположить следующее: «Протокол WebDAV не подвержен риску утечки данных в результате описанной атаки СО СТОРОНЫ ЛЮБЫХ СУБЪЕКТОВ ИЗ ВНЕШНЕЙ СЕТИ». А что насчет эксплуатации из локальной сети?

Также UNC-пути могут применяться в WebDAV-запросах к внешнему домену в следующих двух случаях: при откате с SMB на WebDAV — например, если идущий в сеть SMB-трафик блокируется или не проходит, Windows попытается вернуться к WebDAV (если тот доступен) и завершить соединение; или когда WebDAV активирован принудительно посредством присоединения к имени хоста @80 или @SSL@443.

Внутренние тесты подтверждают, что WebDAV можно эксплуатировать локально путем присоединения @<порт> к имени хоста (для принудительного использования WebDAV) или в случае указания имени хоста без точек (в WebDAV это считается локальной зоной сети). Следовательно, уязвимостью можно воспользоваться локально как по SMB, так и по WebDAV на клиенте С УСТАНОВЛЕННЫМ ИСПРАВЛЕНИЕМ.

Вредоносные образцы

Образцы, подтверждающие эксплуатацию описанных уязвимостей неизвестными злоумышленниками, были отправлены в VirusTotal и привлекли внимание общественности. Позднее на VirusTotal обнаружилось несколько более старых образцов, эксплуатировавших уязвимость CVE-2023-23397. Другие же образцы появились в сервисе после того, как об уязвимости стало известно.

Всего в VirusTotal было найдено три варианта образцов:

  • формат MSG (электронное письмо целиком с заголовком) — есть время использования и предполагаемая цель;
  • формат EML (электронное письмо целиком с заголовком) — есть время использования и предполагаемая цель;
  • формат TNEF (только вложение TASK в формате TNEF) — НЕТ информации о времени использования и предполагаемой цели.

В ранних публикациях об этих образцах нередко можно прочесть, что первые доказательства их существования появились в апреле 2022 года, поскольку поле FirstSeen VT в самой старой временной метке имело значение 2022-04-14 (тот же день указан во временной метке получения в заголовке письма).

Но потом появился образец вложения TNEF в файле EML со значением 2022-04-01 в поле FirstSeen VT и временной меткой получения 2022-03-18 в заголовке письма. Из-за другого формата образец не был обнаружен первой версией правила YARA, которое ранее использовалось VirusTotal. Так или иначе, уязвимость находилась в распоряжении первого злоумышленника не менее года.

Все найденные в открытом доступе образцы имеют временные метки в диапазоне от 2022-03-18 до 2023-03-29 (последняя метка относится к реальной попытке эксплуатации, предпринятой первым злоумышленником). Все остальные образцы со значением 2023-03-15 в поле FirstSeen VT и более поздними датами оказались в основном тестовыми или проверочными (PoC) либо вложениями TNEF, в которых нет данных о времени создания и цели.

Список образцов

Хронология появления обнаруженных образцов

  • Цель: государственная организация (Украина)

2022-03-18 — лист.eml
Дата первой загрузки на сайт VT: 2022-04-01 06:21:07 UTC
UNC-путь: \\5.199.162.132\SCW (дата и время напоминания: 2019-05-06 20:00)
Отправлено с адреса 5.199.162.132, время отправления: 2022-03-18 12:01:09 UTC ← САМЫЙ РАННИЙ ОПУБЛИКОВАННЫЙ ОБРАЗЕЦ НА ДАТУ ВЫХОДА СТАТЬИ

  • Цель: государственная организация (Румыния)

Happy Birthday..msg
Дата первой загрузки на сайт VT: 2022-04-14 11:49:27 UTC
UNC-путь: \\101.255.119.42\event\2431 (дата и время напоминания: 2020-10-06 20:00)
Отправлено с адреса 101.255.119.42, время отправления: 2022-04-14 10:35:39 UTC

Celebration.msg
Дата первой загрузки на сайт VT: 2022-05-18 07:26:26 UTC
UNC-путь: \\101.255.119.42\mail\a5b3553d (дата и время напоминания: 2020-04-07 11:30)
Отправлено с адреса 101.255.119.42, время отправления: 2022-05-17 14:21:25 UTC

  • Цель: критическая инфраструктура электротранспорта (Польша)

Information!.msg
Дата первой загрузки на сайт VT: 2022-08-05 08:22:49 UTC
UNC-путь указывает на 181.209.99.204; согласно данным VT путь должен быть таким: \\181.209.99.204\information

  • Цель: поставщик продуктов оборонной промышленности (Польша)

Silence..eml
Дата первой загрузки на сайт VT: 2023-03-23 09:03:23 UTC; НО дата загрузки вложения TNEF на VT: 2022-09-29 11:29:43 UTC
UNC-путь: \\213.32.252.221\silence (дата и время напоминания: 2020-03-10 10:30)
Отправлено с адреса 213.32.252.221, время отправления: 2022-09-09 09:04:23 UTC

  • Цель: критическая транспортная инфраструктура (Польша)

Interest..msg
Дата первой загрузки на сайт VT: 2022-10-05 14:10:40 UTC
UNC-путь указывает на 213.32.252.221 согласно данным VT

  • Цель: государственная организация (Иордан)

Information!.msg
Дата первой загрузки на сайт VT: 2022-10-25 10:00:00 UTC
UNC-путь: \\168.205.200.55\test (дата и время напоминания: 2019-02-17 19:00)
Отправлено с адреса 168.205.200.55, время отправления: 2022-10-25 09:12:02 UTC

  • Цель: критическая транспортная инфраструктура (Польша)

Fwd..msg
Дата первой загрузки на сайт VT: 2022-11-04 09:28:28 UTC
UNC-путь: \\213.32.252.221\fwd (дата и время напоминания: 2020-03-17 02:30)
Отправлено с адреса 213.32.252.221, время отправления: 2022-11-03 11:07:23 UTC

Fwd..msg
Дата первой загрузки на сайт VT: 2022-11-04 09:27:32 UTC

Silence..msg
Дата первой загрузки на сайт VT: 2022-11-04 18:41:05 UTC

Silence..msg
Дата первой загрузки на сайт VT: 2022-11-08 20:41:31 UTC

Silence..msg
Дата первой загрузки на сайт VT: 2022-11-09 06:50:41 UTC
UNC-путь указывает на 213.32.252.221 согласно данным VT

  • Цель: критическая инфраструктура электротранспорта (Украина)

Fwd..msg
Дата первой загрузки на сайт VT: 2022-12-01 09:37:36 UTC
UNC-путь: \\69.162.253.21\pets (дата и время напоминания: 2020-03-09 23:30)
Время отправления: 2022-12-01 06:18:15 UTC

Fwd..msg
Дата первой загрузки на сайт VT: 2022-12-01 12:19:18 UTC
UNC-путь: \\185.132.17.160\aojv43 (дата и время напоминания: 2021-04-21 11:30)
Время отправления: 2022-12-01 11:59:46 UTC

  • Цель: критическая инфраструктура энергопроизводства (Украина)

Fwd..msg
Дата первой загрузки на сайт VT: 2022-12-14 08:47:25 UTC
UNC-путь: \\69.51.2.106\report (дата и время напоминания: 2021-05-19 00:30)
Отправлено с адреса 69.51.2.106, время отправления: 2022-12-14 07:05:18 UTC

  • Цель: поставщик продуктов оборонной промышленности (Турция)

Ticaret.msg
Дата первой загрузки на сайт VT: 2022-12-29 13:00:43 UTC; также: 2023-03-16 13:05:21 UTC
UNC-путь: \\113.160.234.229\istanbul (дата и время напоминания: 2022-09-05 22:00)
Отправлено с адреса 113.160.234.229, время отправления: 2022-12-29 12:39:33 UTC

  • Цель: государственная организация (Украина)

Неизвестно
Дата первой загрузки на сайт VT: 2023-03-21 10:47:06 UTC
UNC-путь: \\85.195.206.7\lrmng
Отправлено с адреса 85.195.206.7, время отправления: 2023-03-15 16:07:48 UTC

  • Цель: военная межведомственная структура (Турция)

Alarms!.msg
Дата первой загрузки на сайт VT: 2023-03-16 13:02:30 UTC
UNC-путь: \\85.195.206.7\lrmng (дата и время напоминания: 2022-02-03 23:30)
Отправлено с адреса 85.195.206.7, время отправления: 2023-03-15 16:15:07 UTC

  • Цель: поставщик продуктов военно-космической промышленности (Италия)

Power!
Дата первой загрузки на сайт VT: 2023-03-20 07:55:32 UTC
UNC-путь: \\85.195.206.7\power (дата и время напоминания: 2022-01-31 23:30)
Отправлено с адреса 77.238.121.148, время отправления: 2023-03-17 14:04:54 UTC

  • Цель: IT-интегратор (Украина)

Reminder!
Дата первой загрузки на сайт VT: 2023-03-22 12:20:44 UTC
UNC-путь: \\61.14.68.33\rem (дата и время напоминания: 2022-06-28 21:30)
Отправлено с адреса 77.238.121.148, время отправления: 2023-03-21 11:13:14 UTC

  • Цель: государственная организация (Словакия)

Reminder!.eml
Дата первой загрузки на сайт VT: 2023-03-29 06:51:54 UTC
UNC-путь: \\61.14.68.33\rem (дата и время напоминания: 2022-06-28 21:30)
Отправлено с адреса 77.238.121.148, время отправления: 2023-03-22 09:13:09 UTC

Reminder!.eml
Дата первой загрузки на сайт VT: 2023-03-27 08:59:44 UTC
UNC-путь: \\61.14.68.33\rem (дата и время напоминания: 2022-06-28 21:30)
Отправлено с адреса 77.238.121.148, время отправления: 2023-03-22 09:17:19 UTC

  • Цель: IT-интегратор (Украина)

CC.eml
Дата первой загрузки на сайт VT: 2023-03-29 13:51:50 UTC
UNC-путь: \\42.98.5.225\ping (дата и время напоминания: 2023-01-31 01:00)
Отправлено с адреса 42.98.5.225, время отправления: 2023-03-29 12:36:10 UTC

Индикаторы компрометации первоначальной атаки

Для данной угрозы в качестве индикаторов компрометации релевантны встроенные вредоносные UNC-пути и IP-адреса, а не хэши файлов-образцов. Последние бесполезны для обнаружения и верификации угрозы, так как представляют собой всего лишь экспорт вредоносной задачи, эксплуатирующей уязвимость, в формате MSG/EML.

URL-ссылки (16 экз.)

\\5.199.162[.]132\SCW
\\101.255.119[.]42\event\2431
\\101.255.119[.]42\mail\a5b3553d
\\181.209.99[.]204\information
\\213.32.252[.]221\silence
\\168.205.200[.]55\test
\\213.32.252[.]221\fwd
\\69.162.253[.]21\pets
\\185.132.17[.]160\aojv43
\\69.51.2[].106\report
\\113.160.234[.]229\istanbul
\\85.195.206[.]7\lrmng
\\24.142.165[.]2\req
\\85.195.206[.]7\power
\\61.14.68[.]33\rem
\\42.98.5[.]225\ping

IP-адреса (14 экз.)

5.199.162[.]132 (нет в публикации руководства Microsoft)
101.255.119[.]42
181.209.99[.]204
213.32.252[.]221
168.205.200[.]55
69.162.253[.]21
185.132.17[.]160
69.51.2[.]106 (нет в публикации руководства Microsoft)
113.160.234[.]229
85.195.206[.]7
24.142.165[.]2 (нет в публикации руководства Microsoft)
61.14.68[.]33
42.98.5[.]225 (нет в публикации руководства Microsoft)
82.196.113[.]102 (только в публикации руководства Microsoft; на сайте VT относится к хэшу 92df1d2125f88d0642e0d4919644376c09e1f1e0eaf48c31a6b389265e0d5576, но самого образца и другой дополнительной информации нет)

Верификация угрозы

Любая попытка связи с адресами IP или URI, перечисленными в вышеуказанных IoC и обнаруженными в любых системных журналах, должна рассматриваться как подозрительная активность и подвергаться дальнейшему расследованию.

Также можно узнать, имели ли место попытки компрометации, с помощью специального скрипта Microsoft, который проверяет все объекты Outlook (задачи, почтовые сообщения и элементы календаря) на наличие UNC-пути в определенном свойстве. Если были обнаружены объекты, ссылающиеся на неопознанный сетевой ресурс, их следует исследовать дополнительно. Microsoft предоставила подробное руководство о том, как именно это делать.

Заметка об инфраструктуре атакующего

Легко заметить, что многие IP-адреса, используемые злоумышленником, имеют (или имели) некоторое сходство в плане подключенного оборудования.

IP-адреса История работы сервисов в публичной сети
5.199.162[.]132 Нет сведений
101.255.119[.]42 Перенаправление HTTP на HTTPS, HTTPS-сертификат: «Subject: C=US, CN=UBNT Router UI, O=Ubiquiti Networks»; SSH на порту 2222
181.209.99[.]204 Перенаправление HTTP на HTTPS, HTTPS-сертификат: «Subject: C=US, CN=UBNT Router UI, O=Ubiquiti Networks»
213.32.252[.]221 Перенаправление HTTP на HTTPS, HTTPS-сертификат: «Subject: C=US, CN=UBNT Router UI, O=Ubiquiti Networks»
168.205.200[.]55 Перенаправление HTTP на HTTPS, HTTPS-сертификат: «Subject: C=US, CN=UBNT Router UI, O=Ubiquiti Networks, UDP на порту 10001; Ubiquiti Networks Device_Hostname: <ИЗМЕНЕНО>_Product: N5N_Version: XM.ar7240.v5.6.6.29183.160526.1225 @2022-06-16
69.162.253[.]21 Перенаправление HTTP на HTTPS, HTTPS-сертификат: «Subject: C=US, CN=UBNT Router UI, O=Ubiquiti Networks»; порт UDP 10001
185.132.17[.]160 Перенаправление HTTP на HTTPS, HTTPS-сертификат: «Subject: C=US, CN=UBNT Router UI, O=Ubiquiti Networks»; SSH на порту 2222
69.51.2[.]106 Перенаправление HTTP на HTTPS, HTTPS-сертификат: «Subject: C=US, CN=UBNT Router UI, O=Ubiquiti Networks»; SSH на порту 2222
113.160.234[.]229 Перенаправление HTTP на HTTPS, HTTPS-сертификат: «Subject: C=US, CN=UBNT Router UI, O=Ubiquiti Networks»; SSH на порту 2222
85.195.206[.]7 Перенаправление HTTP на HTTPS, HTTPS-сертификат: «Subject: C=US, CN=UBNT Router UI, O=Ubiquiti Networks»
24.142.165.2 Нет сведений
61.14.68[.]33 Перенаправление HTTP на HTTPS, HTTPS-сертификат: «Subject: C=US, CN=UBNT Router UI, O=Ubiquiti Networks»; SSH на порту 2222
42.98.5[.]225 Перенаправление HTTP на HTTPS, HTTPS-сертификат: «Subject: C=US, CN=UBNT Router UI, O=Ubiquiti Networks»; SSH на порту 2222
82.196.113[.]102 Перенаправление HTTP на HTTPS, HTTPS-сертификат: «Subject: C=US, CN=UBNT Router UI, O=Ubiquiti Networks»; SSH на порту 2222

Очевидно, что это не случайный набор данных, а «точка входа» злоумышленника.

Один из IP-адресов атакующего указывал на веб-интерфейс роутера с выходом в интернет:

Некоторые исследователи утверждают, что злоумышленник мог воспользоваться уязвимостью в прошивке роутеров, чтобы скомпрометировать их и использовать для осуществления атаки. Такое могло произойти, однако атакующий вполне мог просто найти роутер с настройками по умолчанию или со слабым паролем и взломать его.

Последующий анализ сетевого оборудования, задействованного в атаке, подтвердил, что роутеры этой модели – это оптимальная платформа для реализации эксплойта. Например, они обычно устанавливаются интернет-провайдерами на стороне клиента, в их прошивке предусмотрен интерфейс командной строки с поддержкой прямого веб-доступа. При таком доступе в журналах системы не записывается IP-адрес источника, поскольку соединение происходит локально с адреса 127.0.0.1. В журналах сетевого экрана могут сохраняться только следы соединений с веб-интерфейсом.

Скриншот командной строки скомпрометированного роутера
(сделан на тестовом оборудовании)

Более того, операционная система роутера имеет встроенную поддержку Python 2.7, что позволяет запустить небезызвестный поддельный SMB-сервер для сбора NTLM-хэшей из хакерского инструментария Responder, представляющего собой Python-скрипт. Стоит отметить, что работа открытого SMB-сервера в публичной Сети провоцирует большое количество соединений из-за попыток сканирования, не связанных с использованием образцов злоумышленника. Таким образом, можно предположить, что преступник собрал все данные с поддельного SMB-сервера, а затем обработал их, исключив попытки сканирования, и извлек только релевантные.

В любом случае использование роутеров с интернет-доступом в качестве источника атаки — это грамотный способ собрать данные об объектах угроз без использования хоста и к тому же удалить любые записи в журналах и следы вредоносной активности. Архитектура операционных систем провайдерских роутеров может включать и другие функциональные недоработки, способствующие вредоносной активности. К примеру, доступ по общеизвестным учетным данным или непостоянные журналы, которые либо стираются при перезагрузке, либо не регистрируют IP-адреса источников. Приведем в пример роутер, который, как мы предполагаем, использовался при атаке. В нем папка журнала монтируется на файловой системе в оперативной памяти:

Чтобы защититься от атак на роутеры провайдеров, организациям следует: регулярно обновлять прошивку устройств, использовать надежные способы аутентификации, сегментировать сеть, корректно настраивать сетевые экраны, развертывать IDPS, вести мониторинг ресурсов и протоколировать данные, а также анализировать сетевой трафик, обучать сотрудников мерам безопасности и регулярно проводить оценку безопасности инфраструктуры.

Уязвимость CVE-2023-23397: комплексный анализ образцов первичной атаки

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике