Microsoft分享了调查利用CVE-2023-23397的攻击的指南

微软警告称，网络攻击利用最近修补的 Outlook 漏洞 CVE-2023-23397（CVSS 评分：9.8）。

Microsoft发布了调查利用最近修补的Outlook漏洞（被跟踪为CVE-2023-23397）的攻击的指南。

该缺陷是一个Microsoft Outlook 欺骗漏洞，可导致身份验证绕过。

远程、未经身份验证的攻击者可以通过向受影响的系统发送特制电子邮件来利用该漏洞访问用户的Net-NTLMv2哈希。

“成功利用此漏洞的攻击者可以访问用户的Net-NTLMv2哈希值，该哈希值可用作针对另一项服务的 NTLM 中继攻击的基础，以验证用户身份。”“攻击者可以通过发送特制电子邮件来利用此漏洞，该电子邮件在Outlook客户端检索和处理时自动触发。这可能会导致在预览窗格中查看电子邮件之前进行利用。”“外部攻击者可以发送特制的电子邮件，这将导致从受害者到攻击者控制的外部 UNC 位置的连接。这会将受害者的Net-NTLMv2哈希泄露给攻击者，然后攻击者可以将其转发给另一项服务并以受害者身份进行身份验证。”

该漏洞由CERT-UA和Microsoft事件响应、Microsoft威胁情报(MSTI)报告，表明它已被民族国家行为者利用。

微软在2023年3月的补丁星期二更新中解决了该缺陷 。

Microsoft发布的指南包含有关使用该漏洞进行攻击的详细信息。下图显示攻击者使用Net-NTLMv2中继攻击获得初始访问权限，然后通过修改邮箱文件夹权限保持持久性，并通过发送额外的恶意邮件执行横向移动。

在以下攻击场景中，威胁参与者使用受感染的电子邮件帐户通过针对同一组织的其他成员来扩展他们在受感染环境中的访问权限。

“虽然利用NTLMv2哈希来获得对资源的未授权访问并不是一项新技术，但CVE-2023-23397的利用是新颖且隐秘的。即使用户报告了关于任务的可疑提醒，对所涉及的消息、任务或日历项目的初步安全审查也没有导致检测到恶意活动。”“此外，缺乏任何必要的用户交互导致了这个漏洞的独特性。“在本文档中，Microsoft事件响应强调了利用此CVE的威胁搜寻技术和策略，以及一些用于观察到的利用后威胁行为者行为的搜寻技术。此外，建议对与凭证泄露一致的异常用户活动进行广泛的威胁搜寻。”

该指南还包括此活动的攻击指标。

威胁情报公司Mandiant的研究人员还报告说，他们观察到一项与长达数月的利用Microsoft Exchange漏洞CVE-2023-23397进行的网络间谍活动相关的活动，该活动由追踪为UNC4697的威胁参与者（可能与APT28组织有关）进行。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5414.html