CVE-2023–23397 (Outlook NTLM 凭证泄露)
由微软在每月第二个星期二发布的安全漏洞补丁,对于确保您的计算机安全至关重要。分析这些补丁的Mdsec团队,发表了一篇研究文章,阐述了如何利用导致Microsoft Outlook权限提升的CVE-2023–23397漏洞。
https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/
漏洞细节
当用户收到会议或活动的通知提醒时,可以选择由谁发送要播放的音频文件。然而,想要利用此安全漏洞的攻击者,可以将音频文件指定为自己计算机上的一个文件。
在这种情况下,为了能够使用攻击者指定的音频文件,需要将名为PidLidReminderOverride的参数设置为true。这样,将使用攻击者指定的文件,而不是用户默认使用的音频文件。
当用户收到恶意电子邮件时,可能会尝试通过UNC路径访问SMB共享。此过程会启动NTLM身份验证,攻击者可以窃取这些凭据并尝试破解Net-NTLMv2哈希值。
*无法使用NTLMv2哈希值进行哈希传递攻击。希望扩大攻击范围的攻击者需要破解密码。
利用步骤
在音频文件选择界面中,无法输入例如\10.10.x.x\test\test.wav这样的值。因为\字符会被清除。然而,攻击者可以使用OutlookSpy扩展程序,为音频文件分配任何想要的值,从而使文件可从其自己的设备访问。
此脚本用于将自己服务器上的一个文件作为File值提供。
通过将ReminderOverrideDefault值设为true,攻击者的文件将优先于用户指定的音频文件。此外,将ReminderPlaySound值设为true,则指定了将播放音频文件。
在向用户发送会议邀请时,指定为音频文件的文件,看起来像是位于攻击者设备上的文件。
用户收到会议邀请时,不会观察到任何差异,也无需进行任何点击。
攻击者已成功获取用户的NTLMv2哈希值。
漏洞利用代码
https://github.com/api0cradle/CVE-2023-23397-POC-Powershell
解决方案建议
在安装了Outlook的设备上,必须安装微软发布的以下更新。
Security Update Guide - Microsoft Security Response Center
Edit description
msrc.microsoft.com
CSD0tFqvECLokhw9aBeRqoqqTKqP1dgc9KGVgoc05OPt0OW1PmyMov+jSnV7r7kOymkkPKueSYkebRdAkHIgG8uuyj1k2cIv8WRuSbBSPfk=
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
:压测下毫秒级响应的实现秘诀)
