俄罗斯黑客利用 Outlook 漏洞窃取 NTLM 哈希。
(资料图片仅供参考)
3 月 14 日,微软补丁日修复了一个 Outlook 安全漏洞,微软对该漏洞的描述中的是:微软 Office Outlook 中包含一个权限提升漏洞,攻击者利用该漏洞可以发起 NTLM(New technology LAN Manager,新技术 LAN 管理器)中继攻击,但未公开该漏洞的其他细节。该漏洞 CVE 编号为 CVE-2023-23397,CVSS 评分为 9.8 分,影响所有的 Windows outlook 版本。微软虽然发布了该漏洞的补丁,但该漏洞早在 2022 年 3 月 -4 月就作为 0 day 漏洞被用于 NTLM 中继攻击了。
漏洞利用
具体来说攻击者只需要通过一封邮件就远程窃取用户密码(哈希后的结果),整个过程不需要用户交互,只需要用户打开 outlook 即可。
NTLM 是一种认证方法,用于使用哈希的登录凭证来登入 Windows 域。工作原理为:客户端尝试访问共享的资源时,服务器可以接收和验证来自客户端的密码哈希。如果哈希的用户密码被窃,窃取的哈希可以用于在网络上进行身份认证。虽然 NTLM 认证存在已知风险,但为了兼容老版本系统,许多新系统仍然支持 NTLM 认证。
微软解释称,攻击者可以通过发送一个精心构造的消息来利用该漏洞来获取 NTLM 哈希值。具体来说,该消息包含扩展的 MAPI 属性,其中 UNC 路径为攻击者控制的服务器上的 SMB(TCP 445 端口)。到远程 SMB 服务器的连接发送用户 NTLM 协商消息,然后攻击者就可以中继该消息来实现对支持 NTLM 认证的其他系统的认证。
MDSec 安全研究人员 Chell 分析微软检查 Exchange 消息的脚本发现,该脚本会在接收到的邮件中寻找 "PidLidReminderFileParameter" 属性,如果存在的话就移除。而该特征可以让发送者定义 outlook 客户端在消息提醒触发时应该播放的音乐的文件名。但邮件发送者并不应该能够配置接收者系统的消息提醒音乐。研究人员发现 PidLidReminderOverride 特征可以用来使微软 outlook 分析 PidLidReminderFileParameter 特征中的远程恶意 UNC 路径。研究人员利用该信息可以创建一个包含日历约会的恶意 outlook 邮件(.MSG),可以触发该漏洞并发送目标的 NTLM 哈希给任意服务器。
然后,被窃的 NTLM 哈希值可以被用于执行 NTLM 中继攻击,以访问其他内部网络。
图 通过 outlook 的恶意日历约会窃取 NTLM 哈希值除了日历约会外,攻击者也可以使用 Outlook Tasks、Notes 或者邮件信息来窃取 NTLM 哈希值。
MDSec 也分享了该漏洞的 PoC 视频:https://player.vimeo.com/video/808160973
漏洞在野利用
该漏洞是由乌克兰计算机应急响应组发现并报告给微软的。微软称,与俄罗斯有关的黑客组织已经利用了该漏洞用于攻击多个欧洲政府、交通、能源、军事组织。在 2022 年 12 月的攻击中,有 15 个组织成为攻击的目标。攻击活动的背后是与俄罗斯相关的黑客组织—— ATP28。
在获取访问权限后,黑客会使用 Impacket 和 PowerShell Empire 开源框架进一步入侵网络中的其他系统。研究人员建议管理员尽快修复 CVE-2023-23397 漏洞,并使用微软提供的脚本检查是否有漏洞被利用的迹象。
MDSec 的技术分析参见:https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/
关键词:
Copyright 2000-2021 by www.jiaoyu.wallstreetnews.com.cn all rights reserved
邮箱 : 2 913 236 @qq.com
