微软缓解Outlook特权提升漏洞 | MSRC博客

日本安全团队 / 2023年3月14日 / 10分钟阅读

本博客是《Microsoft Mitigates Outlook Elevation of Privilege Vulnerability》的日文翻译版。最新信息请参考原文。

2023年5月9日更新：微软产品发布中更新了CVE-2023-29324 - 安全更新指南 - Microsoft - Windows MSHTML平台安全功能绕过漏洞。
2023年3月24日更新：影响评估更新为指向《调查使用CVE-2023-23397的攻击指南 - Microsoft安全博客》的链接。
2023年3月23日更新：受影响产品和多层防御详情请参考下方微软产品发布章节。

微软威胁情报部门发现，Windows版Microsoft Outlook中存在一个漏洞，允许从未经信任的网络（如互联网）窃取新技术LAN管理器（NTLM）凭据，该漏洞已被有限利用。微软发布了CVE-2023-23397，以解决影响Windows版Microsoft Outlook的关键特权提升（EoP）漏洞。微软强烈建议所有客户更新Windows版Microsoft Outlook以保持安全。

受影响的产品

所有受支持版本的Windows版Microsoft Outlook均受影响。其他版本的Microsoft Outlook（如Android版、iOS版、Mac版、网页版Outlook及其他Microsoft 365服务）不受影响。

技术细节

CVE-2023-23397是Microsoft Outlook中的一个关键特权提升漏洞，当攻击者发送包含指向威胁行为者控制的不可信网络中服务器上SMB（TCP 445）共享的UNC路径的扩展MAPI属性的消息时触发。利用此漏洞无需用户交互。

远程SMB服务器连接会发送用户的NTLM协商消息。攻击者可以中继该消息，对其他支持NTLM认证的系统进行认证。有关保护系统免受已知绕过方法影响的信息，请参考CVE-2023-29324。

修复

参考CVE-2023-23397上的Outlook更新程序以解决此漏洞，并查看常见问题及额外缓解措施的详细信息。

要解决此漏洞，无论邮件托管位置（如Exchange Online、Exchange Server或其他平台）或组织中是否支持NTLM认证，都必须安装Windows版Microsoft Outlook的安全更新程序。

Outlook更新程序通过仅允许使用来自本地、内联网或可信网络源的路径播放声音来解决漏洞。

影响评估

为了确定组织是否已被试图利用此漏洞的攻击者目标，微软事件响应团队发布了《调查使用CVE-2023-23397的攻击指南 - Microsoft安全博客》。

微软产品发布

下表总结了微软产品发布及其提供内容：

致谢

微软事件响应团队和微软威胁情报社区感谢CERT-UA报告此发现。

通过协作努力，微软确认了利用此漏洞的有限针对性攻击，并开始联系受影响客户。微软威胁情报确定，基于俄罗斯的威胁行为者使用针对CVE-2023-23397的漏洞利用程序，针对欧洲政府、运输、能源和军事部门的有限数量组织进行了针对性攻击。

此外，感谢Akamai公司负责任地披露了CVE-2023-29324中涉及的问题，使微软有机会进行调查和解决。

我们鼓励所有研究者在协调漏洞披露（CVD）框架下与供应商合作。

参考资料

有关CVE-2023-23397和CVE-2023-29324的信息，请参考安全更新指南。

详情请参考Exchange团队博客。

如有疑问，请通过Azure门户aka.ms/azsupt提交支持案例。