Dark Reading 網(wǎng)站披露，微軟修復(fù)了 Outlook 中存在的零日漏洞，漏洞被追蹤為 CVE-2023-23397，是一個(gè)權(quán)限提升漏洞，攻擊者可以利用該漏洞訪問受害者的 Net-NTLMv2 響應(yīng)身份驗(yàn)證哈希并冒充用戶。安全研究人員警告稱 CVE-2023-23397 非常危險(xiǎn)，有望成為近期影響最深遠(yuǎn)的漏洞。

CVE-2023-23397 漏洞由烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT）的研究人員和微軟一名研究人員發(fā)現(xiàn)，本周早些時(shí)候微軟已經(jīng)進(jìn)行了補(bǔ)丁更新。

攻擊者能夠輕松利用漏洞

一旦攻擊者成功利用 CVE-2023-23397 漏洞，便可通過向受害者發(fā)送惡意 Outlook 郵件或任務(wù)來竊取 NTLM 身份驗(yàn)證哈希。當(dāng) Outlook 客戶端檢索和處理這些郵件時(shí)，這些郵件會(huì)自動(dòng)觸發(fā)攻擊，可能會(huì)在預(yù)覽窗格中查看電子郵件之前導(dǎo)致攻擊。換句話說，目標(biāo)實(shí)際上不必打開電子郵件就成為攻擊的受害者。

據(jù)悉，漏洞主要影響運(yùn)行 Exchange 服務(wù)器和 Outlook for Windows 桌面客戶端的用戶，Outlook for Android、iOS、Mac 和 Outlook for Web（OWA）等均不受影響。

OcamSec 創(chuàng)始人兼首席執(zhí)行官 Mark Stamford 表示，潛在的攻擊者可以發(fā)送特制的電子郵件，使受害者與攻擊者控制的外部 UNC 位置建立連接，這將使得攻擊者獲得受害者的 Net-NTLMv2 哈希，然后攻擊者將其轉(zhuǎn)發(fā)給另一個(gè)服務(wù)并作為受害者進(jìn)行身份驗(yàn)證。

漏洞存在的一系列潛在影響

Foretrace 創(chuàng)始人兼首席執(zhí)行官 Nick Ascoli 指出，微軟并沒有提及網(wǎng)絡(luò)犯罪分子如何利用 CVE-2023-23397 漏洞，但根據(jù)研究來看，通過該漏洞，攻擊者可以不斷重復(fù)使用被盜的身份驗(yàn)證，最終成功盜取數(shù)據(jù)或安裝惡意軟件。

Viakoo 首席執(zhí)行官 Bud Broomhead 表示，一些最容易受到商業(yè)電子郵件泄露的人可能是潛在受害者。此外， Broomhead 警告稱，一旦漏洞被成功利用，會(huì)帶來核心 IT 系統(tǒng)被破壞、分發(fā)大量惡意軟件、以及業(yè)務(wù)運(yùn)營和業(yè)務(wù)連續(xù)性中斷等安全風(fēng)險(xiǎn)。

CVE-2023-23397 影響巨大

值得一提的是，Broomhead 表示雖然微軟可能每個(gè)時(shí)期都會(huì)出現(xiàn)一些安全漏洞，但 CVE-2023-23397 漏洞無疑是一個(gè)有力的“競(jìng)爭(zhēng)者”。該漏洞幾乎影響到所有類型和規(guī)模的實(shí)體組織，對(duì)員工進(jìn)行培訓(xùn)并不能減緩漏洞帶來的影響，所以這可能是一個(gè)需要付出更大努力來緩解和補(bǔ)救的漏洞。

Hornetsecurity 首席執(zhí)行官 Daniel Hofmann 也一直在強(qiáng)調(diào) CVE-2023-23397 漏洞可能帶來巨大危害，畢竟該漏洞已經(jīng)公開，而且概念驗(yàn)證的說明已有詳細(xì)記錄，其它威脅攻擊者可能會(huì)在惡意軟件活動(dòng)中采用該漏洞，并針對(duì)更廣泛的受眾?？偟膩碚f，利用該漏洞非常簡(jiǎn)單，在 GitHub 和其它開放論壇上已經(jīng)可以找到公開的概念證明。

如何防范 CVE-2023-23397

對(duì)于無法立即進(jìn)行漏洞修補(bǔ)的用戶，Hofmann 建議管理員應(yīng)該使用外圍防火墻、本地防火墻和 VPN 設(shè)置來阻止 TCP 445/SMB 從網(wǎng)絡(luò)到互聯(lián)網(wǎng)的出站流量。這一操作可以防止 NTLM 身份驗(yàn)證消息傳輸?shù)竭h(yuǎn)程文件共享，有助于解決 CVE-2023-23397 問題。

此外 組織還應(yīng)將用戶添加到 Active Directory 中的“受保護(hù)用戶安全組”，以防止 NTLM 作為身份驗(yàn)證機(jī)制，與其它禁用 NTLM 的方法相比，這種方法簡(jiǎn)化了故障排除，對(duì)高價(jià)值的帳戶特別有用。

參考來源：https://www.darkreading.com/application-security/microsoft-outlook-vulnerability-2023-it-bug