摘要
微软威胁情报团队发现Windows版Microsoft Outlook中存在漏洞的有限针对性利用,该漏洞允许将新技术LAN管理器(NTLM)凭证窃取到不可信网络(如互联网)。微软已发布CVE-2023-23397以解决影响Windows版Microsoft Outlook的关键权限提升(EoP)漏洞。我们强烈建议所有客户更新Windows版Microsoft Outlook以保持安全。
受影响产品
所有受支持的Windows版Microsoft Outlook均受影响。其他版本的Microsoft Outlook(如Android、iOS、Mac)以及Outlook on the web和其他M365服务不受影响。
技术细节
CVE-2023-23397是Microsoft Outlook中的一个关键EoP漏洞,当攻击者发送包含扩展MAPI属性的消息(该属性带有指向不可信网络上威胁行为者控制服务器的SMB(TCP 445)共享的UNC路径)时触发。无需用户交互。 威胁行为者使用到远程SMB服务器的连接发送用户的NTLM协商消息,攻击者可以中继该消息以针对支持NTLM身份验证的其他系统进行身份验证。为防止已知绕过,请参阅CVE-2023-29324。
修复方案
请参阅CVE-2023-23397 Outlook更新以解决此漏洞,阅读FAQ和其他缓解细节。 为解决此漏洞,无论您的邮件托管在何处(例如Exchange Online、Exchange Server或其他平台)或您的组织是否支持NTLM身份验证,都必须安装Outlook安全更新。 Outlook更新通过仅使用来自本地、内网或可信网络源的路径来播放声音,从而解决该漏洞。
影响评估
为帮助您确定组织是否被威胁行为者利用此漏洞针对或破坏,微软事件响应团队发布了使用CVE-2023-23397调查攻击的指南,请参阅使用CVE-2023-23397调查攻击的指南 - Microsoft安全博客。
Microsoft产品发布
下表总结了Microsoft产品的发布及其提供的内容:
| 目标 | 操作 | 结果 |
|---|---|---|
| 修复Windows版Outlook漏洞 | 更新Windows版Outlook。 | 如果路径指向可信网络之外,Windows版Outlook停止使用PidLidReminderFileParameter消息属性中包含的路径。 |
| 确定组织是否被试图利用此漏洞的行为者针对 | 要检查是否存在恶意消息且邮箱位于Exchange Server或Exchange Online上,运行https://aka.ms/CVE-2023-23397ScriptDoc脚本以搜索此类消息。 | 脚本输出中存在PidLidReminderFileParameter的任务、电子邮件消息和日历项。可以根据需要修改找到的消息。 |
| 对发送或接收的新消息进行深度防御。 | 将Exchange Server更新至2023年3月SU。Exchange Online用户已受到保护。 | Exchange Server(带有2023年3月SU)和Exchange Online在TNEF转换时丢弃PidLidReminderFileParameter消息属性(当新消息发送或接收时)。 |
| 修复Windows MSHTML平台安全功能绕过漏洞 | 应用2023年5月9日安全更新。请参阅CVE-2023-29324 - 安全更新指南 - Microsoft - Windows MSHTML平台安全功能绕过漏洞。 | Microsoft Windows解决了CVE-2023-23397的已报告绕过问题。 |
致谢
微软事件响应团队和微软威胁情报社区感谢有机会调查CERT-UA报告的发现。 通过共同努力,微软意识到使用此漏洞的有限针对性攻击,并启动了与受影响客户的沟通。微软威胁情报评估认为,基于俄罗斯的威胁行为者在针对欧洲政府、交通、能源和军事部门的有限数量组织的针对性攻击中使用了CVE-2023-23397中修补的漏洞。我们感谢Akamai负责任地披露了CVE-2023-29324中解决的问题,这使我们有机会调查和解决提出的问题。 我们鼓励所有研究人员与供应商合作,遵循协调漏洞披露(CVD)。
参考
- 访问安全更新指南获取有关CVE-2023-23397和CVE-2023-29324的信息
- 更多信息,请查看Exchange团队博客
- 有问题?通过Azure门户提交支持案例