微软缓解Outlook权限提升漏洞 | MSRC博客

2023年3月14日更新：微软产品发布信息已更新，包含CVE-2023-29324 - Windows MSHTML平台安全功能绕过漏洞的安全更新指南。
2023年3月24日更新：影响评估已更新为指向《调查利用CVE-2023-23397攻击的指南》- 微软安全博客。
2023年3月23日更新：请参阅下文微软产品发布信息，了解产品变更和深度防御更新可用性的说明。

摘要

微软威胁情报团队发现Microsoft Outlook for Windows中存在漏洞的有限针对性滥用，该漏洞允许将新技术的LAN管理器（NTLM）凭证窃取到不可信网络（如互联网）。微软已发布CVE-2023-23397以解决影响Microsoft Outlook for Windows的关键权限提升（EoP）漏洞。我们强烈建议所有客户更新Microsoft Outlook for Windows以保持安全。

受影响的产品

所有受支持的Microsoft Outlook for Windows版本均受影响。其他版本的Microsoft Outlook（如Android、iOS、Mac）以及Outlook on the web和其他M365服务不受影响。

技术细节

CVE-2023-23397是Microsoft Outlook中的一个关键EoP漏洞，当攻击者发送包含扩展MAPI属性的消息，其中包含指向不可信网络上威胁攻击者控制的服务器的SMB（TCP 445）共享的UNC路径时触发。无需用户交互。
威胁攻击者使用与远程SMB服务器的连接发送用户的NTLM协商消息，攻击者可以中继该消息以针对支持NTLM身份验证的其他系统进行身份验证。为防止已知绕过，请参阅CVE-2023-29324。

修复

请参阅CVE-2023-23397 Outlook更新以解决此漏洞，阅读常见问题解答和其他缓解详细信息。
要解决此漏洞，无论您的邮件托管在何处（例如Exchange Online、Exchange Server或其他平台）或您的组织是否支持NTLM身份验证，都必须安装Outlook安全更新。
Outlook更新通过仅使用来自本地、内网或可信网络源的路径来播放声音，从而解决该漏洞。

影响评估

为帮助您确定组织是否被威胁攻击者利用此漏洞针对或入侵，微软事件响应团队发布了《调查利用CVE-2023-23397攻击的指南》，位于调查利用CVE-2023-23397攻击的指南 - 微软安全博客。

微软产品发布

下表总结了微软产品的发布及其提供的内容：

致谢

微软事件响应团队和微软威胁情报社区感谢有机会调查CERT-UA报告的发现。
通过共同努力，微软了解到使用此漏洞的有限针对性攻击，并启动了与受影响客户的沟通。微软威胁情报评估认为，基于俄罗斯的威胁攻击者在针对欧洲政府、交通、能源和军事部门的有限数量组织的针对性攻击中使用了CVE-2023-23397中修补的漏洞。我们感谢Akamai负责任地披露了CVE-2023-29324中解决的问题，这使我们有机会调查和解决提出的问题。
我们鼓励所有研究人员在协调漏洞披露（CVD）下与供应商合作。

参考

• 访问安全更新指南获取有关CVE-2023-23397和CVE-2023-29324的信息
• 更多信息，请查看Exchange团队博客
• 有问题？通过Azure门户打开支持案例