阅读: 29
一、漏洞概述
近日,绿盟科技CERT监测到微软官方发布补丁更新,修复了一个Microsoft Outlook权限提升漏洞,未经身份验证的攻击者通过发送特制的电子邮件,导致受害者连接到攻击者控制的外部的UNC位置,造成受害者的Net-NTLMv2散列泄露给攻击者,后续攻击者可以将其中继到另一个服务并作为受害者进行身份验证,最终实现权限提升。此外,微软官方提示:攻击者所发送的特制邮件在Outlook客户端检索和处理时可自动触发。目前已监测到该漏洞存在在野利用,CVSS评分为9.8。
Microsoft Office Outlook是微软办公软件套装的组件之一,它对Windows自带的Outlook express的功能进行了扩充。Outlook具有很多功能,可以使用它来收发电子邮件、管理联系人信息、安排日程等。
绿盟科技已成功复现该漏洞:
参考链接:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23397
二、影响范围
受影响版本
- Microsoft Outlook 2016 (64-bit edition)
- Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
- Microsoft Outlook 2013 RT Service Pack 1
- Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
- Microsoft Office 2019 for 32-bit editions
- Microsoft 365 Apps for Enterprise for 32-bit Systems
- Microsoft Office 2019 for 64-bit editions
- Microsoft 365 Apps for Enterprise for 64-bit Systems
- Microsoft Office LTSC 2021 for 64-bit editions
- Microsoft Outlook 2016 (32-bit edition)
- Microsoft Office LTSC 2021 for 32-bit editions
三、漏洞检测
- 脚本检测
用户可使用微软官方提供的脚本来审核用户的Exchange服务器,以查找可能被用来利用该漏洞的邮件项目,脚本链接如下:
https://github.com/microsoft/CSS-Exchange/blob/a4c096e8b6e6eddeba2f42910f165681ed64adf7/docs/Security/CVE-2023-23397.md
四、漏洞防护
- 补丁更新
目前微软官方已针对受支持的产品版本发布了修复该漏洞的安全补丁,建议受影响用户开启系统自动更新安装补丁进行防护。
注:由于网络问题、计算机环境问题等原因,Windows Update的补丁更新可能出现失败。用户在安装补丁后,应及时检查补丁是否成功更新。右键点击Windows徽标,选择“设置(N)”,选择“更新和安全”-“Windows更新”,查看该页面上的提示信息,也可点击“查看更新历史记录”查看历史更新情况。
针对未成功安装更新补丁的情况,可直接下载离线安装包进行更新,链接如下:https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23397
- 临时防护措施
若用户无法正常进行补丁修复,在不影响正常业务的情况下,可使用以下措施对漏洞进行防护:
1、将用户添加到受保护的用户安全组,以防止使用 NTLM 作为身份验证机制。
注意:该操作可能会对需要NTLM的应用程序造成一定影响。
详情请参考:https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group
2、用户可通过在网络中同时使用外围防火墙和本地防火墙,并通过VPN设置来阻止TCP 445/SMB从网络出站。
注意:该操作将禁止发送NTLM身份验证消息到远程文件共享。
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。