Baza wiedzy

Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC) zaobserwowało wykorzystywanie szkodliwej techniki, która umożliwia atakującemu nieuprawniony dostęp do korespondencji e-mail. Atak polega na modyfikacji uprawnień do folderów skrzynki poczty elektronicznej w ramach serwerów Microsoft Exchange. Działania z wykorzystaniem podatności CVE-2023-23397 w oprogramowaniu Microsoft Outlook zostały po raz pierwszy wykryte przez CERT-UA (Computer Emergency Response Team Ukraine - ukraiński Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) i publicznie opisane przez firmę Microsoft. W przypadku działań wobec podmiotów w Polsce informował o tym Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego poziomu krajowego – CSIRT NASK (CERT Polska). W wyniku przeprowadzonych przez DKWOC analiz potwierdzono szkodliwe działania przeciwko podmiotom publicznym i prywatnym w Polsce. 

W celu identyfikacji oraz ograniczenia tego zagrożenia DKWOC opracowało zestaw narzędzi, które mogą zostać uruchomione w środowisku pocztowym Microsoft Exchange. Przeprowadzone zostały również stosowne działania w ramach krajowego systemu cyberbezpieczeństwa w porozumieniu z Zespołami Reagowania na Incydenty Bezpieczeństwa Komputerowego poziomu krajowego (CSIRT MON, CSIRT GOV, CSIRT NASK), Służbą Kontrwywiadu Wojskowego (SKW) oraz ze wsparciem firmy Microsoft.  
 
DKWOC ocenia, że w chwili publikacji raportu wspomniana technika może być aktywnie wykorzystywana przez atakujących.  
 
DKWOC rekomenduje zatem wykorzystanie wskazanych w raporcie narzędzi do identyfikacji aktywności w ramach własnych zasobów. 

Raport jest dostępny na stronie DKWOC: 

wersja polska dostępna jest pod tym linkiem  

wersja angielska dostępna jest pod tym linkiem