近日网络安全新闻网站Dark Reading 披露,Outlook 中存在重大零日漏洞 CVE-2023-23397,称该漏洞非常危险,几乎影响所有组织。
具体来说攻击者只需要通过一封邮件就远程窃取用户密码(哈希后的结果),整个过程不需要用户交互,只需要用户打开outlook即可。
NTLM是一种认证方法,用于使用哈希的登录凭证来登入Windows域。工作原理为:客户端尝试访问共享的资源时,服务器可以接收和验证来自客户端的密码哈希。如果哈希的用户密码被窃,窃取的哈希可以用于在网络上进行身份认证。虽然NTLM认证存在已知风险,但为了兼容老版本系统,许多新系统仍然支持NTLM认证。
微软解释称,攻击者可以通过发送一个精心构造的消息来利用该漏洞来获取NTLM哈希值。具体来说,该消息包含扩展的MAPI属性,其中UNC路径为攻击者控制的服务器上的SMB(TCP 445端口)。到远程SMB服务器的连接发送用户NTLM 协商消息,然后攻击者就可以中继该消息来实现对支持NTLM认证的其他系统的认证。
MDSec安全研究人员Chell 分析微软检查Exchange消息的脚本发现,该脚本会在接收到的邮件中寻找“PidLidReminderFileParameter”属性,如果存在的话就移除。而该特征可以让发送者定义outlook客户端在消息提醒触发时应该播放的音乐的文件名。但邮件发送者并不应该能够配置接收者系统的消息提醒音乐。
研究人员发现PidLidReminderOverride特征可以用来使微软outlook分析PidLidReminderFileParameter特征中的远程恶意UNC路径。研究人员利用该信息可以创建一个包含日历约会的恶意outlook邮件(.MSG),可以触发该漏洞并发送目标的NTLM哈希给任意服务器。
然后,被窃的NTLM哈希值可以被用于执行NTLM中继攻击,以访问其他内部网络。
用户无需操作就可能中招
受害者实际上不需要打开电子邮件就已经被攻击。根据研究来看,通过该漏洞,攻击者可以不断重复使用被盗的身份验证,最终成功盗取数据或安装恶意软件。
Viakoo 首席执行官表示,一些最容易受到商业电子邮件泄露的人可能是潜在受害者。此外警告称,一旦漏洞被成功利用,会带来核心 IT 系统被破坏、分发大量恶意软件、以及业务运营和业务连续性中断等安全风险。
CVE-2023-23397 漏洞已经公开,攻击者可能会在恶意软件活动中采用该漏洞,因此带来的危害可能巨大。
如何防范此类攻击?
立即修复已知漏洞
重点企业应及时更新系统和软件,尽可能弥补已知漏洞带来的威胁。
加密所有敏感数据
众所周知,无论是人为漏洞,还是技术性漏洞,都是无法避免的。一旦数据被攻击者窃取,数据就会被无限复制和转发,如果是明文(未加密)的敏感数据,还存在被重复利用,勒索、兜售的可能。
建立安全邮件防护体系
企业不仅需要经常进行员工安全意识教育,同时企业还需要建立安全邮件系统,开启强制弱口令检测,强制邮件加密,部署邮件防泄漏、反垃圾系统、邮件审计归档,才能在目前复杂的网络环境中,避免电邮所带来的安全风险。
当前,传统网络安全技术已经不足以保证系统和系统内敏感数据的安全,企业需要和专业安全机构开展合作,定期检查并修补系统漏洞。加强对数据访问权限,特权行为的管控,才是解决数据安全问题最有效的方式。
受影响版本
Microsoft Outlook 2016 (64-bit edition)
Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
Microsoft Office 2019 for 32-bit editions
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Office 2019 for 64-bit editions
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Outlook 2016 (32-bit edition)
Microsoft Office LTSC 2021 for 32-bit editions
脚本检测
用户可使用微软官方提供的脚本来审核用户的Exchange服务器,以查找可能被用来利用该漏洞的邮件项目,脚本链接如下:
https:github.com/microsoft/CSS-Exchange/blob/a4c096e8b6e6eddeba2f42910f165681ed64adf7/docs/Security/CVE-2023-23397.md
目前微软官方已针对受支持的产品版本发布了修复该漏洞的安全补丁,建议受影响用户开启系统自动更新安装补丁进行防护。
注:由于网络问题、计算机环境问题等原因,Windows Update的补丁更新可能出现失败。用户在安装补丁后,应及时检查补丁是否成功更新。右键点击Windows徽标,选择“设置(N)”,选择“更新和安全”-“Windows更新”,查看该页面上的提示信息,也可点击“查看更新历史记录”查看历史更新情况。
针对未成功安装更新补丁的情况,可直接下载离线安装包进行更新,链接如下:
https://https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23397
参考来源: