微軟3月在patch Tuesday修復了 Outlook 中存在的零日漏洞, CVE-2023-23397,它是一個許可權提升漏洞,攻擊者可以利用該漏洞存取受害者的 Net-NTLMv2 回應身份驗證雜湊並冒充該使用者。安全研究人員警告稱 CVE-2023-23397 非常危險,有望成為近期影響最深遠的漏洞,幾乎影響所有組織。
CVE-2023-23397 漏洞由烏克蘭電腦緊急回應小組(CERT)的研究人員和微軟一名研究人員發現。一旦攻擊者成功利用 CVE-2023-23397 漏洞,就可向受害者發送惡意 Outlook 郵件或任務來竊取 NTLM 身份驗證雜湊。當 Outlook 用戶端檢索和處理這些郵件時,這些郵件會自動觸發攻擊,可能會在預覽窗格中查看電子郵件之前導致攻擊。換句話說,受害者實際上不必打開電子郵件就成為攻擊的受害者。
一旦漏洞被成功利用,會帶來核心 IT 系統被破壞、分發大量惡意軟體、以及業務運營和業務連續性中斷等安全風險。
據了解,漏洞主要影響Exchange 伺服器和 Outlook for Windows 桌面用戶端的用戶,Outlook for Android、iOS、Mac 和 Outlook for Web(OWA)等均不受影響。
專家表示,潛在的攻擊者可以發送特製的電子郵件,使受害者與攻擊者控制的外部 UNC 位置建立連接,這將使得攻擊者獲得受害者的 Net-NTLMv2 雜湊,然後攻擊者將其轉發給另一個服務並作為受害者進行身份驗證。
微軟並沒有提及網路犯罪分子如何利用 CVE-2023-23397 漏洞,但根據研究來看,通過該漏洞,攻擊者可以不斷重複使用被盜的身份驗證,最終成功盜取資料或安裝惡意軟體。
CVE-2023-23397幾乎影響到所有類型和規模組織,由於該漏洞資訊已經公開,而且概念驗證的說明已有詳細記錄,潛在攻擊者可能會在惡意行動中利用該漏洞,並針對更廣泛的族群GitHub 和其它開放論壇上已經可以找到公開的概念證明。
如何防範 CVE-2023-23397
對於無法立即進行漏洞修補的用戶,專家建議管理員應該使用周邊防火牆、本地防火牆和 VPN 設置來阻止 TCP 445/SMB 出站流量。這一操作可以防止 NTLM 身份驗證消息傳輸到遠端檔共用,有助於解決 CVE-2023-23397 問題。
此外,資安人員還應將使用者添加到 Active Directory 中的「受保護用戶安全性群組」,以防止 NTLM 作為身份驗證機制,與其它禁用 NTLM 的方法相比,這種方法簡化故障排除,對高權限帳戶特別有效。