Інформація про 0-day вразливість була опублікована Microsoft 14 березня 2023 і, за інформацією колег, уже зареєстровані випадки цілеспрямованих атак із використанням цієї вразливості на організації в Україні. CVE-2023-23397 активно використовується повсюдно, в публічному доступі вже є PoC коду експлойту. Держспецзв'язкурекомендує вжити додаткових заходів безпеки.

Рекомендації щодо блокування загрози, якщо ви – не користувач Microsoft Office 365:

  1. Заблокувати на firewall вихідний SMB трафік і всі з'єднання в зовнішній світ на порти 445, 137-139 із внутрішньої мережі. Цей контрзахід є критичним і рекомендованим ще з 2017 після атаки ransomware NotPetya.
  2. Надіслати лист на всіх працівників організації від IT-команди про перехід на вебверсію та повідомлення щодо підозрілої активності в мережі (у разі її виявлення) – чи з доступом, чи з електронною поштою.
  3. Блокування виконання outlook.exe через групові політики до розгортання оновлення на Windows.
  4. Увімкнути логування і збір всіх логів у WEC сервер (windows event collector).
  5. Встановити виправлення через WSUS у межах домену і через групову політику.
  6. Через групові політики Active Directory активувати примусове SMB signing on clients and servers, щоб усунути можливість relay-атак Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options.



Додатково рекомендується вимкнути LLMNR на всіх комп'ютерах у домені через механізм групових політик:

Local Computer Policy > Computer Configuration > Administrative Templates > Network > DNS Client.
А також відключити NBT-NS як інший вектор реалізації загрози, що часто використовується зловмисниками в мережах з доменом Active Directory:

Network Connections > Internet Protocol Version 4 > Properties > General > Advanced > WINS, «Disable NetBIOS over TCP/IP».

Якщо жертва відкрила лист – негайно змініть пароль і відстежуйте спроби автентифікації цього користувача у ваших системах.

Пошук спроб експлуатації в SIEM:

  1. Пошук контенту – Content-Type: application/ms-tnef; name=lrmng.txt через використання спеціальних Powershell скриптів від Microsoft для наземних інсталяцій Exchange
    https://github.com/microsoft/CSS-Exchange/blob/a4c096e8b6e6eddeba2f42910f165681ed64adf7/docs/Security/CVE-2023-23397.md

  2. Пошук спробексплуатаціїв Splunk SIEM за Outlook Vulnerability (CVE-2023-23397)
     index={your_index} sourcetype={your_4688_sourcetype} EventCode=4688 New_Process_Name="*rundll32.exe*" Process_Command_Line="*davclnt.dll*" New_Process_Name="*DavSetCookie*" "davclnt" "rundll32" "DavSetCookie" | rex field=Process_Command_Line "DavSetCookie\s+(?<IP_Address>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"  | search (IP_Address!="10.0.0.0/8" AND IP_Address!="192.168.0.0/16" AND IP_Address!="172.16.0.0/12")
     index={your_index} sourcetype={your_NTLM_audit_sourcetype} EventCode=8001| rex "\w+/(?<IP_Address>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})" | search (IP_Address!="10.0.0.0/8" AND IP_Address!="192.168.0.0/16" AND IP_Address!="172.16.0.0/12")
  3. Пошукспробексплуатаціїв SIEM IBM Qradar, якщобулоувімкненевідповіднелогування Microsoft Windows Security Event Log

and when the event matches EventID (custom) is any of 4688
and when the event matches ProcessName (custom) is any of rundll32.exe
and when the event matches Process CommandLine (custom) contains any of davclnt.dll
and when the event matches Process CommandLine (custom) matches any of expressions ((?:1\d{2}|2[0-4]\d|25[0-5]|[1-9]\d|[1-9])(?:\.(?!$)|$)){4}