Microsoft Outlook (CVE-2023-23397) Zafiyeti ve Alınması Gereken Önlemler Rehberi

Zafiyet ve Saldırı Özeti

CVE-2023-23397 olarak takip edilen zafiyet Microsoft Outlook’ta “NTLM Relay attack” zafiyetine den oluyor. Zafiyetin teknik detaylarına baktığımızda güvenlik açığının zero-day olduğunu ve exploit kodunu yayınlanmış olduğunu görüyoruz. Saldırı ilk olarak, saldırganlar tarafından kontrol edilen bir SMB sunucusu ve özel olarak hazırlanmış eposta ekleri, takvim, notlar kullanarak, bunların UNC yolları değiştirerek ve sonrasında manipüle edilmiş MAPI mesajları gönderilerek başlıyor. Bu yolla gönderilen eposta ve içerikleri kullanıcı aksiyonuna ihtiyaç duyulmadan parola HASH’lerinin
çalınmasına izin veriyor. Çalınan bu HASH’lerden parola üretilerek sistemler ele geçiriliyor.

Etkilenen Microsoft Outlook Versiyonları

1. Microsoft Outlook 2016 (64-bit edition)
2. Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
3. Microsoft Outlook 2013 RT Service Pack 1
4. Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
5. Microsoft Office 2019 for 32-bit editions
6. Microsoft Office 2019 for 64-bit editions
7. Microsoft 365 Apps for Enterprise for 64-bit Systems
8. Microsoft Office LTSC 2021 for 64-bit editions
9. Microsoft Outlook 2016 (32-bit edition)
10. Microsoft Office LTSC 2021 for 32-bit editions

Alınması Gereken Önlemler ve Tavsiyeler

1 – Bu ay yayınlanan Exchange Server güncellemeleri zaman kaybetmeden yükleyiniz. Eksik
Exchange Server güncellemeleriniz varsa zaman kaybetmeden tamamlayınız.

2 – Office güncellemelerini zaman kaybetmeden yapınız.

3 – Domain Admis, Schema Admins, Enterprise Admins gibi gruplara üye olan kritik hesaplar dediğimiz sensitive accounts’lar ile kritik sistemlere erişimi olan hesapları Protected Users grubuna ekleyin böyleye trafiği kerberos ile şifrelemiş olacaksınız. Bu gruba kullanıcıları dahil ederken dikkati olmalısınız. Bazı uygulamalar kerberos servisini desteklemez, örnek olarak VMware vCenter. Bu tarzı uygulamalara login olmaya çalıştığınızda login olamadığını göreceksiniz. Bu nedenle önce uygulamalarınız analiz edip sonra bu işlemleri yapmak daha doğru olacaktır.

– Domain Admis, Schema Admins, Enterprise Admins gibi gruplara üye olan kritik hesaplar dediğimiz sensitive accounts’lar ile kritik sistemlere erişimi olan hesapların özelliklerine girerek
“account is sensitive and cannot be delegated” seçeneğini işaretleyin. Böylece bu hassas hesaplara delegation atanamayacaktır.

5 – Microsoft’un bu zafiyetten etkilenen eposta hesaplarının tespit etmek ve temizlemek için yayınladığı scripti kullanarak kontrollerini sağlayınız. Buradan erişebilirsiniz.

6 – Kritik hesapların kullandığı cihazlarda hem windows firewall hemde kurumsal firewall üzerinde SMB portu olan 445’i outbouad yönünde blocklayın. Burada dikkat etmeniz gereken nokta SMB ile
haberleşen cihazlar artık haberleşemeyecek olmasıdır. Burada yine önce analiz edip sonra uygulamanızı tavsiye ederiz.

7 – SIEM ürünlerine gerekli kuralları yazarak outlook erişim event’leri için alarm oluşturun ve SIEM üzerinde gerekli korelasyon, YARA kurallarını yazınız.