安全研究人员分享了利用 Windows 版 Microsoft Outlook 关键漏洞 (CVE-2023-23397) 的技术细节，该漏洞允许黑客通过简单地接收电子邮件远程窃取散列密码。

微软昨天发布了针对该安全漏洞的补丁，但至少从 2022 年 4 月中旬开始，它就被用作 NTLM 中继攻击中的0day漏洞。

该问题是一个严重级别为 9.8 (CVSS评分，满分10分)的权限升级漏洞，会影响 Windows 上所有版本的 Microsoft Outlook。

攻击者只需向目标发送一封恶意电子邮件，即可使用它来窃取 NTLM 凭据。不需要用户交互，因为当 Outlook 打开并在系统上触发提醒时就会发生利用。

容易利用

Windows 新技术 LAN Manager (NTLM) 是一种身份验证方法，用于使用散列登录凭据登录到 Windows 域。

尽管 NTLM 身份验证带有已知风险，但它仍用于新系统以与旧系统兼容。

它使用服务器在尝试访问共享资源（例如 SMB 共享）时从客户端接收到的密码哈希值。如果被盗，这些哈希值可用于在网络上进行身份验证。

微软解释说，攻击者可以使用 CVE-2023-23397 通过发送“带有扩展 MAPI 属性的消息和 UNC 路径到攻击者控制的SMB服务器共享来获取 NTLM 哈希值。”

“与远程 SMB 服务器的连接发送用户的 NTLM 协商消息，然后攻击者可以中继该消息以针对支持 NTLM 身份验证的其他系统进行身份验证”- Microsoft

利用这个问题需要更多的技术细节，MDSec 的红队成员Dominic Chell在查看了 Microsoft 的一个脚本后，该脚本使用 CVE-2023-23397 检查 Exchange 消息项是否存在利用迹象，发现攻击者利用该漏洞非常容易。

他发现该脚本可以在收到的邮件项目中查找“ PidLidReminderFileParameter ”属性，并在存在时将其删除。

Chell 解释说，此属性允许发件人定义 Outlook 客户端在触发消息提醒时应播放的文件名。

这可能的原因仍然是研究人员无法阐明的一个谜，因为电子邮件的发件人不应该能够在收件人的系统上为新消息警报配置声音。

Chell指出 ，如果该属性接受文件名，则还应该可以添加 UNC 路径来触发 NTLM 身份验证。

研究人员还发现，PidLidReminderOverride属性可用于让 Microsoft Outlook 解析 PidLidReminderFileParameter 属性中的远程恶意 UNC 路径。

此信息允许研究人员创建带有日历约会的恶意 Outlook 电子邮件 (.MSG)，这将触发漏洞并将目标的 NTLM 哈希发送到任意服务器。

然后，这些被盗的 NTLM 哈希可用于执行 NTLM 中继攻击，以更深入地访问公司网络。

通过 Microsoft Outlook 中的恶意日历约会窃取 NTLM 哈希，来源：MDSec

除了日历约会，攻击者还可以使用 Microsoft Outlook 任务、便笺或电子邮件来窃取哈希值。

Chell 指出，CVE-2023-23397 可用于触发对受信任 Intranet 区域或受信任站点之外的 IP 地址的身份验证。

MDSec 分享了一段视频，展示了如何利用 Microsoft Outlook 中新修补的严重漏洞。

该0day漏洞已被俄罗斯黑客使用

该漏洞是乌克兰计算机紧急响应小组 (CERT-UA) 发现并报告给微软的，很可能是在发现该漏洞被用于针对其服务的攻击之后。

据微软称，“一个总部位于俄罗斯的攻击者”利用该漏洞对政府、交通、能源和军事部门的几个欧洲组织进行了有针对性的攻击。

据信，攻击背后的黑客组织是 APT28（又名 Strontium、Fancy Bear、Sednit、Sofacy），这是一个与俄联邦武装部队 (GRU) 总参谋部总局有联系的专业黑客团队。

据信，多达 15 个组织已成为目标或使用 CVE-2023-23397 遭到破坏，这是去年 12 月发生的最新一次攻击。

获得访问权限后，黑客通常会使用 Impacket 和 PowerShell Empire 开源框架来扩大控制范围，并转移到网络上更有价值的系统来收集信息。

研究人员强烈建议管理员优先修补 CVE-2023-23397，并使用 Microsoft 的脚本通过验证 Exchange 中的邮件项目是否带有 UNC 路径来检查利用迹象。

参考链接：https://www.bleepingcomputer.com/news/security/critical-microsoft-outlook-bug-poc-shows-how-easy-it-is-to-exploit/