Outlook高危漏洞（CVE23397）PoC公开，该漏洞

　　安全研究人员分享了利用Windows版MicrosoftOutlook关键漏洞（CVE202323397）的技术细节，该漏洞允许黑客通过简单地接收电子邮件远程窃取散列密码。
　　微软昨天发布了针对该安全漏洞的补丁，但至少从2022年4月中旬开始，它就被用作NTLM中继攻击中的0day漏洞。
　　该问题是一个严重级别为9。8（CVSS评分，满分10分）的权限升级漏洞，会影响Windows上所有版本的MicrosoftOutlook。
　　攻击者只需向目标发送一封恶意电子邮件，即可使用它来窃取NTLM凭据。不需要用户交互，因为当Outlook打开并在系统上触发提醒时就会发生利用。容易利用
　　Windows新技术LANManager（NTLM）是一种身份验证方法，用于使用散列登录凭据登录到Windows域。
　　尽管NTLM身份验证带有已知风险，但它仍用于新系统以与旧系统兼容。
　　它使用服务器在尝试访问共享资源（例如SMB共享）时从客户端接收到的密码哈希值。如果被盗，这些哈希值可用于在网络上进行身份验证。
　　微软解释说，攻击者可以使用CVE202323397通过发送带有扩展MAPI属性的消息和UNC路径到攻击者控制的SMB服务器共享来获取NTLM哈希值。
　　与远程SMB服务器的连接发送用户的NTLM协商消息，然后攻击者可以中继该消息以针对支持NTLM身份验证的其他系统进行身份验证Microsoft
　　利用这个问题需要更多的技术细节，MDSec的红队成员DominicChell在查看了Microsoft的一个脚本后，该脚本使用CVE202323397检查Exchange消息项是否存在利用迹象，发现攻击者利用该漏洞非常容易。
　　他发现该脚本可以在收到的邮件项目中查找PidLidReminderFileParameter属性，并在存在时将其删除。
　　Chell解释说，此属性允许发件人定义Outlook客户端在触发消息提醒时应播放的文件名。
　　这可能的原因仍然是研究人员无法阐明的一个谜，因为电子邮件的发件人不应该能够在收件人的系统上为新消息警报配置声音。
　　Chell指出，如果该属性接受文件名，则还应该可以添加UNC路径来触发NTLM身份验证。
　　研究人员还发现，PidLidReminderOverride属性可用于让MicrosoftOutlook解析PidLidReminderFileParameter属性中的远程恶意UNC路径。
　　此信息允许研究人员创建带有日历约会的恶意Outlook电子邮件（。MSG），这将触发漏洞并将目标的NTLM哈希发送到任意服务器。
　　然后，这些被盗的NTLM哈希可用于执行NTLM中继攻击，以更深入地访问公司网络。
　　通过MicrosoftOutlook中的恶意日历约会窃取NTLM哈希，来源：MDSec
　　除了日历约会，攻击者还可以使用MicrosoftOutlook任务、便笺或电子邮件来窃取哈希值。
　　Chell指出，CVE202323397可用于触发对受信任Intranet区域或受信任站点之外的IP地址的身份验证。
　　MDSec分享了一段视频，展示了如何利用MicrosoftOutlook中新修补的严重漏洞。该0day漏洞已被俄罗斯黑客使用
　　该漏洞是乌克兰计算机紧急响应小组（CERTUA）发现并报告给微软的，很可能是在发现该漏洞被用于针对其服务的攻击之后。
　　据微软称，一个总部位于俄罗斯的攻击者利用该漏洞对政府、交通、能源和军事部门的几个欧洲组织进行了有针对性的攻击。
　　据信，攻击背后的黑客组织是APT28（又名Strontium、FancyBear、Sednit、Sofacy），这是一个与俄联邦武装部队（GRU）总参谋部总局有联系的专业黑客团队。
　　据信，多达15个组织已成为目标或使用CVE202323397遭到破坏，这是去年12月发生的最新一次攻击。
　　获得访问权限后，黑客通常会使用Impacket和PowerShellEmpire开源框架来扩大控制范围，并转移到网络上更有价值的系统来收集信息。
　　研究人员强烈建议管理员优先修补CVE202323397，并使用Microsoft的脚本通过验证Exchange中的邮件项目是否带有UNC路径来检查利用迹象。
　　参考链接：https：www。bleepingcomputer。comnewssecuritycriticalmicrosoftoutlookbugpocshowshoweasyitistoexploit