俄羅斯黑客利用 Outlook 漏洞竊取 NTLM 哈希。
3 月 14 日,微軟補丁日修複了一個 Outlook 安全漏洞,微軟對該漏洞的描述中的是:微軟 Office Outlook 中包含一個權限提升漏洞,攻擊者利用該漏洞可以發起 NTLM(New technology LAN Manager,新技術 LAN 管理器)中繼攻擊,但未公開該漏洞的其他細節。該漏洞 CVE 編号爲 CVE-2023-23397,CVSS 評分爲 9.8 分,影響所有的 Windows outlook 版本。微軟雖然發布了該漏洞的補丁,但該漏洞早在 2022 年 3 月 -4 月就作爲 0 day 漏洞被用于 NTLM 中繼攻擊了。
漏洞利用
具體來說攻擊者隻需要通過一封郵件就遠程竊取用戶密碼(哈希後的結果),整個過程不需要用戶交互,隻需要用戶打開 outlook 即可。
NTLM 是一種認證方法,用于使用哈希的登錄憑證來登入 Windows 域。工作原理爲:客戶端嘗試訪問共享的資源時,服務器可以接收和驗證來自客戶端的密碼哈希。如果哈希的用戶密碼被竊,竊取的哈希可以用于在網絡上進行身份認證。雖然 NTLM 認證存在已知風險,但爲了兼容老版本系統,許多新系統仍然支持 NTLM 認證。
微軟解釋稱,攻擊者可以通過發送一個精心構造的消息來利用該漏洞來獲取 NTLM 哈希值。具體來說,該消息包含擴展的 MAPI 屬性,其中 UNC 路徑爲攻擊者控制的服務器上的 SMB(TCP 445 端口)。到遠程 SMB 服務器的連接發送用戶 NTLM 協商消息,然後攻擊者就可以中繼該消息來實現對支持 NTLM 認證的其他系統的認證。
MDSec 安全研究人員 Chell 分析微軟檢查 Exchange 消息的腳本發現,該腳本會在接收到的郵件中尋找 "PidLidReminderFileParameter" 屬性,如果存在的話就移除。而該特征可以讓發送者定義 outlook 客戶端在消息提醒觸發時應該播放的音樂的文件名。但郵件發送者并不應該能夠配置接收者系統的消息提醒音樂。
研究人員發現 PidLidReminderOverride 特征可以用來使微軟 outlook 分析 PidLidReminderFileParameter 特征中的遠程惡意 UNC 路徑。研究人員利用該信息可以創建一個包含日曆約會的惡意 outlook 郵件(.MSG),可以觸發該漏洞并發送目标的 NTLM 哈希給任意服務器。
然後,被竊的 NTLM 哈希值可以被用于執行 NTLM 中繼攻擊,以訪問其他内部網絡。
圖 通過 outlook 的惡意日曆約會竊取 NTLM 哈希值
除了日曆約會外,攻擊者也可以使用 Outlook Tasks、Notes 或者郵件信息來竊取 NTLM 哈希值。
MDSec 也分享了該漏洞的 PoC 視頻:https://player.vimeo.com/video/808160973
漏洞在野利用
該漏洞是由烏克蘭計算機應急響應組發現并報告給微軟的。微軟稱,與俄羅斯有關的黑客組織已經利用了該漏洞用于攻擊多個歐洲政府、交通、能源、軍事組織。在 2022 年 12 月的攻擊中,有 15 個組織成爲攻擊的目标。攻擊活動的背後是與俄羅斯相關的黑客組織—— ATP28。
在獲取訪問權限後,黑客會使用 Impacket 和 PowerShell Empire 開源框架進一步入侵網絡中的其他系統。研究人員建議管理員盡快修複 CVE-2023-23397 漏洞,并使用微軟提供的腳本檢查是否有漏洞被利用的迹象。
MDSec 的技術分析參見:https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/
