Bleeping Computer 網站消息，微軟威脅情報團隊近期發布警告稱，疑似具有俄羅斯國家背景的網絡攻擊組織 APT28（又名 "Fancybear "或 "Strontium"）正在積極利用 CVE-2023-23397 Outlook 漏洞，劫持微軟 Exchange 賬戶并竊取敏感信息。

此外，微軟威脅情報團隊強調 APT28 在網絡攻擊活動中還利用了 WinRAR 中存在的 CVE-2023-38831 漏洞和 Windows MSHTML 中的 CVE-2021-40444 等公開安全漏洞，其瞄準的攻擊目標主要包括美國、歐洲和中東的政府、能源、交通和其他重要組織。

Outlook 漏洞利用背景

CVE-2023-23397 是 Windows 上 Outlook 中一個關鍵權限提升 (EoP) 漏洞，APT28 威脅組織自 2022 年 4 月以來一直在利用該漏洞，通過特制的 Outlook 筆記竊取 NTLM 哈希值，迫使目標設備在不需要用戶交互的情況下向攻擊者控制的 SMB 共享進行身份驗證。

不僅如此，APT28 威脅組織還通過提升系統權限（事實證明這并不復雜），在受害目標的環境中進行橫向移動，并更改 Outlook 郵箱權限，從而實施有針對性的電子郵件盜竊。更糟糕的是，盡管后來提供了安全更新和緩解建議，但仍然存在很大的攻擊面。

Recorded Future 在 6 月份警告說，APT28 威脅組織很可能利用 Outlook 漏洞攻擊烏克蘭的重要組織，10 月份，法國網絡安全局（ANSSI）又披露俄羅斯黑客利用漏洞攻擊了法國的政府實體、企業、大學、研究機構和智庫。

網絡攻擊活動仍在持續進行中

微軟發布最新警告表示，GRU 黑客仍在利用 CVE-2023-38831 安全漏洞進行網絡攻擊，因此仍有系統易受關鍵 EoP 漏洞的影響。此外，微軟還提到波蘭網絡指揮中心（DKWOC）在幫助檢測和阻止網絡攻擊方面所采取的措施，DKWOC 發布一篇文章，詳細描述了 APT28 如何利用 CVE-2023-38831 安全漏洞，進行網絡攻擊活動。

強烈建議用戶立即采取以下安全措施（按優先級排列）：

• 應用針對 CVE-2023-23397 及其旁路 CVE-2023-29324 的可用安全更新。
• 使用 Microsoft 提供的此腳本檢查是否有 Exchange 用戶成為攻擊目標。
• 重置受攻擊用戶的密碼，并為所有用戶啟用 MFA(多因素身份驗證)。
• 通過阻止所有入站 IP 地址與端口 135 和 445 的連接來限制 SMB 流量禁用環境中的 NTLM。

最后，網絡安全專家指出，鑒于 APT28 是一個“資源豐富”、適應性強的網絡威脅攻擊組織，常規網絡防御措施很難起到效果，最有效的防御策略是減少所有接口的攻擊面，并確保所有軟件產品定期更新最新的安全補丁。

參考文章：https://www.bleepingcomputer.com/news/microsoft/russian-hackers-exploiting-outlook-bug-to-hijack-exchange-accounts/