Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni w ramach prowadzonych działań w cyberprzestrzeni zaobserwowało próby nielegalnego wejścia na serwery pocztowe Microsoft Exchange. Próbowano wykorzystać technikę polegającą na modyfikacji uprawnień do folderów skrzynki pocztowej w ramach serwerów Microsoft.
Na czym polega modyfikacja uprawnień do folderów skrzynki pocztowej?
Umożliwia ona atakującemu zapewnienie skrytego, nieuprawnionego dostępu do korespondencji pocztowej i była stosowana po uzyskaniu dostępu do kont pocztowych poprzez CVE-2023-23397 lub password-spraying.
Działania z wykorzystaniem podatności CVE-2023-23397 w oprogramowaniu Microsoft Outlook zostały po raz pierwszy wykryte przez CERT-UA i publicznie opisane przez Microsoft.
W przypadku działań wobec podmiotów w Polsce informował o tym CSIRT NASK. W wyniku przeprowadzonych przez DKWOC analiz potwierdzono szkodliwe działania przeciwko podmiotom publicznym i prywatnym w Polsce.
Przeczytaj także: Zmiany reguł cyberbezpieczeństwa na terenie UE >>
W celu identyfikacji oraz mitygacji opisywanego zagrożenia, DKWOC opracowało zestaw narzędzi, które mogą zostać uruchomione w środowisku pocztowym Microsoft Exchange. W przedmiotowej sprawie, w ramach Krajowego Systemu Cyberbezpieczeństwa, przeprowadzone zostały działania w porozumieniu z CSIRT MON, CSIRT GOV, CSIRT NASK, SKW oraz ze wsparciem firmy Microsoft.
Źródło: DKWOC