Microsoft on julkaissut päivityksen, jolla paikataan sähköpostiohjelmisto Outlookissa oleva nollapäivähaavoittuvuus CVE-2023-23397. Bleeping Computerin mukaan hakkeriryhmä APT28 on käyttänyt sitä hyödyksi vakoillakseen eurooppalaisia korkean profiilin kohteita.

Haavoittuvuutta käyttämällä APT28 on murtanut lukuisten eurooppalaisten valtiollisten ja sotilaallisten tahojen sekä energiatuotantoon ja kuljetukseen liittyvien organisaatioiden järjestelmiä huhtikuusta joulukuuhun vuonna 2022. Hyökkäysten tarkkaa määrää ei kerrota, mutta Microsoftin mukaan niitä on alle 15.

Venäjän tiedustelupalvelu GRU:n alaisuudessa toimiva APT28 on pahamaineinen ja erittäin taitava hakkeriryhmä. Se tunnetaan myös nimillä Strontium, Sednit, Sofacy ja Fancy Bear. Ryhmän kontolla on muun muassa Yhdysvaltain presidentinvaalien häirintä vuonna 2016 sekä Saksan puolustus- ja sisäministeriön järjestelmien vakoilu vuonna 2018.

Microsoft kertoo, että Outlookista löytynyt CVE-2023-23397-nollapäivähaavoittuvuus antaa hyökkääjän nostaa käyttöoikeuksiaan kohdejärjestelmässä ilman, että uhrin tarvitsee tehdä mitään.

Hyökkääjä lähettää uhrille tarkoin laaditun sähköpostiviestin, jonka sisältämä haittakoodi aktivoituu heti, kun uhrin Outlook-ohjelmisto vastaanottaa ja käsittelee viestin. Sähköpostiviestissä oleva haittakoodi ohjeistaa uhrin järjestelmän ottamaan yhteyttä hyökkääjän etäpalvelimeen. Hyökkääjä voi tämän jälkeen käyttää yhteyspyynnössä olevaa autentikaatiodataa iskeäkseen muihin järjestelmiin.

Tällä tavalla hyökkääjä saa järjestelmästä jalansijaa ilman, että käyttäjän tarvitsee edes esikatsella myrkyllistä viestiä.