详解CVE-2023-23397：利用Outlook漏洞窃取NTLM凭证

CVE-2023–23397 (Outlook NTLM 凭证泄露)

由微软在每月第二个星期二发布的安全漏洞补丁，对于确保您的计算机安全至关重要。分析这些补丁的Mdsec团队，发表了一篇研究文章，阐述了如何利用导致Microsoft Outlook权限提升的CVE-2023–23397漏洞。

https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/

漏洞细节

当用户收到会议或活动的通知提醒时，可以选择由谁发送要播放的音频文件。然而，想要利用此安全漏洞的攻击者，可以将音频文件指定为自己计算机上的一个文件。

在这种情况下，为了能够使用攻击者指定的音频文件，需要将名为 PidLidReminderOverride 的参数设置为 true。这样，将使用攻击者指定的文件，而不是用户默认使用的音频文件。

当用户收到恶意电子邮件时，可能会尝试通过UNC路径访问SMB共享。此过程会启动NTLM身份验证，攻击者可以窃取这些凭据并尝试破解 Net-NTLMv2 哈希值。

*无法使用NTLMv2哈希值进行哈希传递攻击。希望扩大攻击范围的攻击者需要破解密码。

利用步骤

在音频文件选择界面中，无法输入例如 \10.10.x.x\test\test.wav 这样的值。因为 \ 字符会被清除。然而，攻击者可以使用 OutlookSpy 扩展程序，为音频文件分配任何想要的值，从而使文件可从其自己的设备访问。

此脚本用于将自己服务器上的一个文件作为File值提供。

通过将 ReminderOverrideDefault 值设为 true，攻击者的文件将优先于用户指定的音频文件。此外，将 ReminderPlaySound 值设为 true，则指定了将播放音频文件。

在向用户发送会议邀请时，指定为音频文件的文件，看起来像是位于攻击者设备上的文件。

用户收到会议邀请时，不会观察到任何差异，也无需进行任何点击。

攻击者已成功获取用户的NTLMv2哈希值。

漏洞利用代码

https://github.com/api0cradle/CVE-2023-23397-POC-Powershell

解决方案建议

在安装了Outlook的设备上，必须安装微软发布的以下更新。

Security Update Guide - Microsoft Security Response Center

Edit description

msrc.microsoft.com

CSD0tFqvECLokhw9aBeRqoqqTKqP1dgc9KGVgoc05OPt0OW1PmyMov+jSnV7r7kOymkkPKueSYkebRdAkHIgG8uuyj1k2cIv8WRuSbBSPfk=