ロシアの国家支援を受けた活動が活発なAPTグループが、既知のOutlookの脆弱性を積極的に悪用してExchangeサーバー上のメールアカウントにアクセスしていると、Microsoftが警告した。
APT28(別名 Forest Blizzard、Strontium、Fancy Bear)は、米国、欧州、中東における政府、エネルギー、運輸、非政府組織を標的にしていることで知られていると、Microsoft Threat IntelligenceがX(旧Twitter)で述べた。
「Microsoft Defender XDRはCVE-2023-23397の悪用に関連する活動を検知しており、追加の緩和情報とガイダンスは当社ブログで詳述しています。組織は、この脅威を緩和するためにシステムにパッチを適用し、最新の状態に保つ必要があります」と付け加えた。
CVE-2023-23397は、Microsoftの2023年3月のPatch Tuesday更新でゼロデイのバグとして初めて公開され、修正された。これはOutlookにおける重大な特権昇格の脆弱性で、CVSSスコアは9.8と説明されていた。
1年間にわたり悪用された脆弱性
このバグを悪用する攻撃は、特別に細工されたメールを送信するだけで、ユーザーの操作なしに実行できる。メールサーバーが取得した際に自動的にトリガーされるため、プレビューウィンドウでメッセージを表示する前にユーザーのマシンが侵害される可能性がある。
Windows向けMicrosoft Outlookのサポート対象バージョンはすべて影響を受け、APT28はMicrosoftによって修正されるまで、ほぼ1年にわたりこの脆弱性を悪用していたと考えられている。
レドモンドの巨人は謝意を表した ポーランド・サイバー司令部(DKWOC)に対し、ロシアの国家アクターが用いた手法の特定と緩和に協力したことへの感謝を述べた。
MicrosoftはまたXで、APT28がCVE-2023-38831やCVE-2021-40444を含む、他の公開済みの既知の脆弱性も積極的に悪用している可能性があると警告した。
画像クレジット:FellowNeko / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/russian-apt28-exploits-outlook-bug/
