微软最近于2023 年 3 月 14 日为大约 80 个新发现的安全漏洞发布了补丁。这些漏洞中有两个零日漏洞,即CVE-2023-23397和CVE-2023-24880。这两个漏洞利用的严重性使用通用漏洞评分系统 (CVSS) 进行评级,得分分别为 9.8 和 5.1。除了安全补丁之外,Microsoft 还发布了针对 CVE-2023-23397 的详细公告,其中提供了该漏洞的详细信息。
Microsoft Outlook 中存在特权提升 (EoP) 漏洞,这可能会造成严重后果。当攻击者使用包含通用命名约定 (UNC) 路径的扩展消息应用程序接口 (MAPI) 属性向受害者发送消息时,就会出现此漏洞。当受害者收到恶意消息时,UNC 路径会将他们定向到托管在攻击者控制的服务器上的服务器消息块 (SMB) (TCP 445) 共享,从而触发漏洞。
此严重漏洞不需要用户采取任何操作。当受害者连接到攻击者的 SMB 服务器时,会自动发送用户的新技术局域网管理器 (NTLM) 协商消息,攻击者可以使用该消息对支持 NTLM 身份验证的其他系统进行身份验证。但是,Microsoft 365 等在线服务不易受到此攻击,因为它们不支持 NTLM 身份验证。
技术 LAN 管理器 (NTLM) 哈希进行身份验证。当系统尝试访问网络中的服务时,它会向域控制器发送一个 NTLM 哈希。域控制器验证哈希的有效性,如果有效,则向系统提供所请求的服务。此过程称为单点登录 (SSO)。但是,如果 TA 可以获得 NTLM 哈希,他们可以使用它在受感染的网络中横向移动。
MAPI 是一组广泛的函数,开发人员可以使用它们来创建支持邮件的应用程序。MAPI 可以完全控制客户端计算机上的邮件系统、邮件的创建和管理、客户端邮箱的管理、服务提供商等。
它是 Microsoft Windows 操作系统中用于识别和定位网络资源(例如文件、文件夹、打印机和共享资源)的命名系统。UNC 路径由双反斜杠 (\) 组成,后跟托管资源的计算机的名称或 IP 地址。
最近发现的漏洞 CVE-2023-23397 影响所有当前支持的 Microsoft Outlook for Windows 版本,但不影响 Outlook for Android、iOS 或 macOS。为防止潜在的攻击,Microsoft 建议用户立即修补他们的系统。
或者,如果不能立即修补,Microsoft 建议将用户添加到 Active Directory 中的受保护用户组并阻止 TCP 端口 445 上的出站 SMB 流量。这些措施可能有助于限制 CVE-2023-23397 漏洞的影响。
乌克兰计算机应急响应小组 (CERT-UA) 已向 Microsoft 报告了此零日漏洞。据微软称,与俄罗斯情报部门有关的网络犯罪分子已积极利用此漏洞。在过去一年中,威胁参与者 (TA) 一直在利用此漏洞攻击政府、军队、能源和交通组织。
Microsoft提供了一个 PowerShell 脚本作为手头问题的解决方案。该脚本旨在扫描电子邮件、日历条目和任务项,并验证它们是否具有“ PidLidReminderFileParameter”属性。通过运行该脚本,管理员可以找到具有此属性的有问题的项目,然后将其删除或永久删除。
一位安全研究人员开发了一个 Python脚本,该脚本扫描电子邮件以识别“ task.file.msg_data.reminderFileParameter ”参数的存在,该参数用于利用此漏洞。
TA 可以通过使用包含攻击者控制的 SMB 共享的 UNC 路径的扩展 MAPI 属性发送特制电子邮件来利用 CVE-2023-23397 漏洞。当 outlook 客户端收到恶意消息时,它会尝试使用受害者的 NTLM 哈希向攻击者控制的 SMB 服务器进行身份验证。TA 获取目标的 NTLM 哈希,然后 TA 可以将其用于跨网络的横向移动。
根据 Microsoft,属性“ PidLidReminderFileParameter”用于指定当特定对象的提醒过期时应由 Outlook 客户端播放的音频文件名。由于此属性可以接受文件名,因此文件名可能是导致触发 NTLM 身份验证的 UNC 路径。
MdSec创建的 POC如下图所示,表明正在使用 UNC 路径设置“ PidLidReminderFileParameter ”属性。MdSec 提到打开电子邮件将立即触发对 IP 地址的 NTLM 身份验证,无论用户是否选择了加载远程图像的选项。
图 4 – 概念验证(来源:mdsec)
CVE-2023-23397 漏洞极其严重,在过去的攻击中已被俄罗斯威胁行为者利用。尤其令人担忧的是,无需目标用户采取任何行动即可利用它。根据有关攻击的可用信息,我们很可能会在未来看到更多事件。其他 TA 也可能试图利用此漏洞来攻击他们的受害者。
为防止利用 CVE-2023-23397 进行攻击,我们强烈建议用户立即应用可用补丁或将用户添加到 Active Directory 中的受保护用户组并阻止出站 SMB(TCP 端口 445)作为临时措施。通过采取这些措施,可以将漏洞的影响降到最低,并大大降低攻击成功的风险。
Microsoft 提供了可用的文档和脚本,以帮助组织确定他们是否已成为试图利用 CVE-2023-23397 漏洞的 TA 的目标。这可能是组织评估他们是否受到利用此漏洞的任何攻击的影响并在必要时采取适当措施减轻影响的有用资源。
原文地址:https://blog.cyble.com/2023/03/16/microsoft-outlook-zero-day-vulnerability-cve-2023-23397-actively-exploited-in-the-wild/