CVE-2023-23397:Outlook漏洞PoC - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

CVE-2023-23397:Outlook漏洞PoC

ang010ela 漏洞 2023-03-20 12:00:00
164608
收藏

导语:俄罗斯黑客利用Outlook漏洞窃取NTLM哈希。

俄罗斯黑客利用Outlook漏洞窃取NTLM哈希。 

3月14日,微软补丁日修复了一个Outlook安全漏洞,微软对该漏洞的描述中的是:微软Office Outlook中包含一个权限提升漏洞,攻击者利用该漏洞可以发起NTLM(New technology LAN Manager,新技术LAN管理器)中继攻击,但未公开该漏洞的其他细节。该漏洞CVE编号为CVE-2023-23397,CVSS评分为9.8分,影响所有的Windows outlook版本。微软虽然发布了该漏洞的补丁,但该漏洞早在2022年3月-4月就作为0 day漏洞被用于NTLM中继攻击了。

漏洞利用

具体来说攻击者只需要通过一封邮件就远程窃取用户密码(哈希后的结果),整个过程不需要用户交互,只需要用户打开outlook即可。

NTLM是一种认证方法,用于使用哈希的登录凭证来登入Windows域。工作原理为:客户端尝试访问共享的资源时,服务器可以接收和验证来自客户端的密码哈希。如果哈希的用户密码被窃,窃取的哈希可以用于在网络上进行身份认证。虽然NTLM认证存在已知风险,但为了兼容老版本系统,许多新系统仍然支持NTLM认证。

微软解释称,攻击者可以通过发送一个精心构造的消息来利用该漏洞来获取NTLM哈希值。具体来说,该消息包含扩展的MAPI属性,其中UNC路径为攻击者控制的服务器上的SMB(TCP 445端口)。到远程SMB服务器的连接发送用户NTLM 协商消息,然后攻击者就可以中继该消息来实现对支持NTLM认证的其他系统的认证。

image.png

MDSec安全研究人员Chell 分析微软检查Exchange消息的脚本发现,该脚本会在接收到的邮件中寻找“PidLidReminderFileParameter”属性,如果存在的话就移除。而该特征可以让发送者定义outlook客户端在消息提醒触发时应该播放的音乐的文件名。但邮件发送者并不应该能够配置接收者系统的消息提醒音乐。

研究人员发现PidLidReminderOverride特征可以用来使微软outlook分析PidLidReminderFileParameter特征中的远程恶意UNC路径。研究人员利用该信息可以创建一个包含日历约会的恶意outlook邮件(.MSG),可以触发该漏洞并发送目标的NTLM哈希给任意服务器。

然后,被窃的NTLM哈希值可以被用于执行NTLM中继攻击,以访问其他内部网络。

image.png

图 通过outlook的恶意日历约会窃取NTLM哈希值

除了日历约会外,攻击者也可以使用Outlook Tasks、Notes或者邮件信息来窃取NTLM哈希值。

MDSec也分享了该漏洞的PoC视频:https://player.vimeo.com/video/808160973

漏洞在野利用

该漏洞是由乌克兰计算机应急响应组发现并报告给微软的。微软称,与俄罗斯有关的黑客组织已经利用了该漏洞用于攻击多个欧洲政府、交通、能源、军事组织。在2022年12月的攻击中,有15个组织成为攻击的目标。攻击活动的背后是与俄罗斯相关的黑客组织——ATP28。

在获取访问权限后,黑客会使用Impacket 和 PowerShell Empire开源框架进一步入侵网络中的其他系统。研究人员建议管理员尽快修复CVE-2023-23397漏洞,并使用微软提供的脚本检查是否有漏洞被利用的迹象。

MDSec的技术分析参见:https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/


本文翻译自:https://www.bleepingcomputer.com/news/security/critical-microsoft-outlook-bug-poc-shows-how-easy-it-is-to-exploit/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务