2023第一個(gè)重大漏洞,幾乎影響所有組織
Dark Reading 網(wǎng)站披露,微軟修復(fù)了 Outlook 中存在的零日漏洞,漏洞被追蹤為 CVE-2023-23397,是一個(gè)權(quán)限提升漏洞,攻擊者可以利用該漏洞訪問受害者的 Net-NTLMv2 響應(yīng)身份驗(yàn)證哈希并冒充用戶。安全研究人員警告稱 CVE-2023-23397 非常危險(xiǎn),有望成為近期影響最深遠(yuǎn)的漏洞。
CVE-2023-23397 漏洞由烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)的研究人員和微軟一名研究人員發(fā)現(xiàn),本周早些時(shí)候微軟已經(jīng)進(jìn)行了補(bǔ)丁更新。
攻擊者能夠輕松利用漏洞
一旦攻擊者成功利用 CVE-2023-23397 漏洞,便可通過向受害者發(fā)送惡意 Outlook 郵件或任務(wù)來竊取 NTLM 身份驗(yàn)證哈希。當(dāng) Outlook 客戶端檢索和處理這些郵件時(shí),這些郵件會(huì)自動(dòng)觸發(fā)攻擊,可能會(huì)在預(yù)覽窗格中查看電子郵件之前導(dǎo)致攻擊。換句話說,目標(biāo)實(shí)際上不必打開電子郵件就成為攻擊的受害者。
據(jù)悉,漏洞主要影響運(yùn)行 Exchange 服務(wù)器和 Outlook for Windows 桌面客戶端的用戶,Outlook for Android、iOS、Mac 和 Outlook for Web(OWA)等均不受影響。
OcamSec 創(chuàng)始人兼首席執(zhí)行官 Mark Stamford 表示,潛在的攻擊者可以發(fā)送特制的電子郵件,使受害者與攻擊者控制的外部 UNC 位置建立連接,這將使得攻擊者獲得受害者的 Net-NTLMv2 哈希,然后攻擊者將其轉(zhuǎn)發(fā)給另一個(gè)服務(wù)并作為受害者進(jìn)行身份驗(yàn)證。
漏洞存在的一系列潛在影響
Foretrace 創(chuàng)始人兼首席執(zhí)行官 Nick Ascoli 指出,微軟并沒有提及網(wǎng)絡(luò)犯罪分子如何利用 CVE-2023-23397 漏洞,但根據(jù)研究來看,通過該漏洞,攻擊者可以不斷重復(fù)使用被盜的身份驗(yàn)證,最終成功盜取數(shù)據(jù)或安裝惡意軟件。
Viakoo 首席執(zhí)行官 Bud Broomhead 表示,一些最容易受到商業(yè)電子郵件泄露的人可能是潛在受害者。此外, Broomhead 警告稱,一旦漏洞被成功利用,會(huì)帶來核心 IT 系統(tǒng)被破壞、分發(fā)大量惡意軟件、以及業(yè)務(wù)運(yùn)營和業(yè)務(wù)連續(xù)性中斷等安全風(fēng)險(xiǎn)。
CVE-2023-23397 影響巨大
值得一提的是,Broomhead 表示雖然微軟可能每個(gè)時(shí)期都會(huì)出現(xiàn)一些安全漏洞,但 CVE-2023-23397 漏洞無疑是一個(gè)有力的“競(jìng)爭(zhēng)者”。該漏洞幾乎影響到所有類型和規(guī)模的實(shí)體組織,對(duì)員工進(jìn)行培訓(xùn)并不能減緩漏洞帶來的影響,所以這可能是一個(gè)需要付出更大努力來緩解和補(bǔ)救的漏洞。
Hornetsecurity 首席執(zhí)行官 Daniel Hofmann 也一直在強(qiáng)調(diào) CVE-2023-23397 漏洞可能帶來巨大危害,畢竟該漏洞已經(jīng)公開,而且概念驗(yàn)證的說明已有詳細(xì)記錄,其它威脅攻擊者可能會(huì)在惡意軟件活動(dòng)中采用該漏洞,并針對(duì)更廣泛的受眾??偟膩碚f,利用該漏洞非常簡(jiǎn)單,在 GitHub 和其它開放論壇上已經(jīng)可以找到公開的概念證明。
如何防范 CVE-2023-23397
對(duì)于無法立即進(jìn)行漏洞修補(bǔ)的用戶,Hofmann 建議管理員應(yīng)該使用外圍防火墻、本地防火墻和 VPN 設(shè)置來阻止 TCP 445/SMB 從網(wǎng)絡(luò)到互聯(lián)網(wǎng)的出站流量。這一操作可以防止 NTLM 身份驗(yàn)證消息傳輸?shù)竭h(yuǎn)程文件共享,有助于解決 CVE-2023-23397 問題。
此外 組織還應(yīng)將用戶添加到 Active Directory 中的“受保護(hù)用戶安全組”,以防止 NTLM 作為身份驗(yàn)證機(jī)制,與其它禁用 NTLM 的方法相比,這種方法簡(jiǎn)化了故障排除,對(duì)高價(jià)值的帳戶特別有用。
參考來源:https://www.darkreading.com/application-security/microsoft-outlook-vulnerability-2023-it-bug