Próby nielegalnego wejścia na serwery pocztowe Microsoft Exchange

security-ops.pl 1 rok temu

Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni w ramach prowadzonych działań w cyberprzestrzeni zaobserwowało próby nielegalnego wejścia na serwery pocztowe Microsoft Exchange. Próbowano wykorzystać technikę polegającą na modyfikacji uprawnień do folderów skrzynki pocztowej w ramach serwerów Microsoft.

Na czym polega modyfikacja uprawnień do folderów skrzynki pocztowej?

Umożliwia ona atakującemu zapewnienie skrytego, nieuprawnionego dostępu do korespondencji pocztowej i była stosowana po uzyskaniu dostępu do kont pocztowych poprzez CVE-2023-23397 lub password-spraying.

Działania z wykorzystaniem podatności CVE-2023-23397 w oprogramowaniu Microsoft Outlook zostały po raz pierwszy wykryte przez CERT-UA i publicznie opisane przez Microsoft.

W przypadku działań wobec podmiotów w Polsce informował o tym CSIRT NASK. W wyniku przeprowadzonych przez DKWOC analiz potwierdzono szkodliwe działania przeciwko podmiotom publicznym i prywatnym w Polsce.

Przeczytaj także: Zmiany reguł cyberbezpieczeństwa na terenie UE >>

W celu identyfikacji oraz mitygacji opisywanego zagrożenia, DKWOC opracowało zestaw narzędzi, które mogą zostać uruchomione w środowisku pocztowym Microsoft Exchange. W przedmiotowej sprawie, w ramach Krajowego Systemu Cyberbezpieczeństwa, przeprowadzone zostały działania w porozumieniu z CSIRT MON, CSIRT GOV, CSIRT NASK, SKW oraz ze wsparciem firmy Microsoft.

Źródło: DKWOC

Idź do oryginalnego materiału