近期,微软修补了一个Outlook零日漏洞(CVE-2023-23397),该漏洞被一个与俄罗斯有关联的黑客组织利用来针对欧洲组织。
根据塞讯安全实验室的追踪与分析,在2022年4月中旬至12月期间,该安全漏洞被用来攻击和破坏了大约15个政府、军事、能源和运输组织的网络。
该黑客组织(被称为为APT28、STRONTIUM、Sednit、Sofacy和Fancy Bear)通过NTLM协商请求发送恶意Outlook笔记和任务,通过强制目标设备向攻击者控制的SMB共享进行身份验证来窃取NTLM哈希。
被盗的凭证被用于在受害者网络内的横向移动,并更改Outlook邮箱文件夹权限,这是一种允许特定帐户的邮件泄露策略。
微软在一份威胁分析报告中分享了这一信息,该报告可供订阅Microsoft 365 Defender、Microsoft Defender for Business或Microsoft Defender for Endpoint Plan 2的客户使用。
▍Outlook for Windows中的关键EoP
该漏洞(CVE-2023-23397)由CERT-UA(乌克兰计算机应急响应小组)报告,这是一个重要的Outlook权限提升安全漏洞,在低复杂度攻击中无需用户交互即可利用。
攻击者可以通过发送具有扩展MAPI属性的消息来利用此漏洞,这些消息包含指向其控制下的SMB共享(TCP 445)的UNC路径。
微软在近期发布的一份安全公告中表示:“攻击者可以通过发送特制的邮件来利用此漏洞,该邮件在Outlook客户端检索和处理时会自动触发。这可能导致在预览窗格中查看电子邮件之前就被利用。”
塞讯安全实验室分析发现:“与远程SMB服务器的连接会发送用户的NTLM协商消息,然后攻击者可以转发该消息,以便对其他支持NTLM身份验证的系统进行身份验证。”
CVE-2023-23397影响所有受支持的Outlook Windows版本,但不影响Android、iOS或macOS版本。
此外,由于Outlook on the web和Microsoft 365等在线服务不支持NTLM身份验证,因此它们不易受到利用此NTLM中继漏洞的攻击。
微软建议立即修补CVE-2023-23397,以缓解此漏洞,阻止任何传入攻击。
他们还建议将用户添加到Active Directory中的“受保护用户”组,并在无法立即进行修补的情况下阻止出站SMB(TCP端口445),这可能会在一定程度上限制CVE-2023-23397的影响。
▍提供缓解和目标检测脚本
微软敦促客户立即针对CVE-2023-23397对其系统进行修补,或将用户添加到Active Directory中的受保护用户组,并阻止出站SMB(TCP端口445),作为临时缓解措施,以将攻击的影响降至最低。
塞讯安全实验室目前发现坊间有人发布一个专用的PowerShell脚本,以帮助管理员检查Exchange环境中是否有用户使用此Outlook漏洞成为攻击目标。
微软表示,这个脚本可以“检查Exchange邮件项目(邮件、日历和任务),以查看属性是否填充了UNC路径”。
如果需要,管理员可以使用此脚本清除恶意项目的属性,甚至永久删除这些项目。
如果在清理模式下运行时在已审核的Exchange Server上发现潜在的恶意邮件,此脚本还允许修改或删除这些邮件。
塞讯验证建议组织对该漏洞保持警惕,塞讯安全实验室已收录该漏洞利用的POC,帮助用户妥善应对可能出现的攻击。
目前,塞讯安全度量验证平台已经可以模拟针对此漏洞的攻击,在平台内搜索关键词“CVE-2023-23397”即可获得相关攻击模拟实验,轻松验证您目前的安全防护手段或缓解措施是否可以有效检测与防御利用此漏洞的攻击。