利用CVE-2023-23397漏洞的初始攻击样本综合分析

2023 年 3 月 14 日，Microsoft 发布了一篇文章，描述了 Outlook 客户端特权提升漏洞（CVSS：9.8 CRITICAL）。该出版物在白帽、灰帽和黑帽研究人员中引起了广泛关注，并引发了大量有关该漏洞及其利用的出版物和推文。下面，我们将重点介绍要点，然后重点介绍攻击者在该漏洞公开之前的最初利用情况。

受影响的产品包括所有受支持的 Microsoft Outlook for Windows 版本。其他版本的 Microsoft Outlook（例如 Android、iOS、macOS 和 Outlook 网页版以及其他 MS365 服务）不受影响。

CVE-2023-23397 漏洞

从技术角度来看，该漏洞是一个严重的 EoP，当攻击者在扩展 MAPI 属性中发送 Outlook 对象（任务、消息或日历事件）时触发，该属性包含威胁参与者控制的服务器上 SMB 共享的 UNC 路径，从而导致 Net-NTLMv2 哈希泄漏。不需要用户交互。NTLM 泄漏发生在显示提醒窗口时，而不仅仅是在收到消息时。然而，已经过期的提醒将在收到物品后立即被触发！

与远程 SMB 服务器的连接会在协商消息中发送用户的 Net-NTLMv2 哈希值，威胁行为者可使用该哈希值执行以下任一操作：

• 用于针对支持 NTLMv2 身份验证的其他系统进行身份验证的中继。

• 进行离线破解，提取密码。

注意：由于这些是 NTLMv2 哈希，因此不能将它们用作哈希传递技术的一部分。

受影响的 Net-NTLMv2 哈希值属于当前登录到运行 Outlook 客户端应用程序的 Windows 设备的用户，无论接收恶意消息的身份如何。如果用户不消除 Outlook 提醒/任务警报，或者提醒重复出现（即多次触发），则用户的 Net-NTLMv2 哈希可能会多次泄露。

漏洞修复

Outlook 客户端代码中针对CVE-2023-23397的修复是 Outlook 的 PlayReminderSound() 现在调用 IsFileZoneLocalIntranetOrTrusted()，后者仅当 SMB URI 位于受信任/本地区域时才使用 MapUrlToZone()来遵循 SMB URI。这意味着即使在已修补的 MS Outlook 客户端上，到 INTRANET/TRUSTED 本地区域的 UNC 路径仍然可能被滥用（SMB 本地利用应该仍然是可能的）。

看起来，通过伪造具有特定格式的恶意 UNC 路径，可以轻松绕过已实施的修复程序，那么即使修补了客户端，仍然可能容易受到攻击（功能绕过漏洞已分配为CVE-2023-29324，并于 2023 年 5 月修补）。但是，该修补程序在服务器端仍然有效，并且漏洞利用向量不可能是修补了 CVE-2023-23397 的 Exchange 服务器，因为它删除了包含任何对象上的恶意 UNC 路径的扩展 MAPI 属性。过境。

WebDAV 协议

在MS 调查使用 CVE-2023-23397 的攻击的指南中，有一个关于 WebDAV 的注释如下：
“注意：基于 WebDAV 协议的交互不存在通过此漏洞利用技术泄露凭证的风险。虽然威胁参与者基础设施可能会请求 Net-NTLMv2 身份验证，但 Windows 将遵守定义的互联网安全区域，并且不会发送（泄漏）Net-NTLMv2 哈希值。换句话说，该漏洞仅影响SMB协议。如果目标设备可以通过端口 445 (SMB) 与威胁参与者基础设施进行通信，则可能会发送 Net-NTLMv2 哈希值；但是，如果无法通过 SMB 进行这种通信，Windows 将转而利用 WebDAV。WebDAV 将与威胁参与者基础设施建立连接，但不会发送 Net-NTLMv2 哈希值。”

看来 WebDAV 已经对本地 Intranet/可信资源实施了适当的检查，并且 MS 仅在泄漏出现在外部实体时才认为泄漏有效。因此，逻辑假设应该是：“WebDAV 协议不存在通过这种利用技术向任何网络外部实体泄露凭证的风险”。WebDAV 的本地可利用性如何？

UNC 路径还可用于向外部域发出 WebDAV 请求，方法是通过 SMB 回退到 WebDAV（如果到 Internet 的 SMB 流量被阻止或失败，Windows 将回退到使用 WebDAV（如果可用）来尝试完成连接），或者通过在主机名中附加“@80”或“@SSL@443”来强制使用 WebDAV。

内部测试似乎证实 WebDAV 在本地可被滥用，方法是通过将 @<port> 附加到主机名并使用无点主机名（WebDAV 视为本地网络区域）来强制使用 WebDAV；那么对于 SMB 和 WebDAV，在已修补的客户端上应该可以进行本地利用。

样本情况

通过向 VirusTotal 提交样本，这些漏洞被未知攻击者利用的证据已被公开。过去提交给 VirusTotal 的一些样本后来被发现利用了 CVE-2023-23397；其他人是在漏洞公开披露后发布的。

在 VirusTotal 上发现了样本的三种变体：

• MSG 格式（带有消息标题的完整电子邮件）-> 提供使用时间参考和假定目标

• EML 格式（带有消息标题的完整电子邮件）-> 提供使用时间参考和假定目标

• TNEF 格式（仅 TNEF 格式的任务附件）-> 无时间参考和无假定目标

关于这些样本的许多最初出版物都将 2022 年 4 月称为第一个可用证据，因为最旧样本时间戳上的“FirstSeen VT”字段是 2022-04-14（邮件标头中的接收时间戳是同一天）。

然而，后来出现了一个样本（采用不同的格式 – .eml 中的 TNEF 附件 – VirusTotal 使用的 YARA 规则的第一个版本未检测到），其“FirstSeen VT”时间戳为 2022-04-01，邮件标头中的接收时间戳为 2022-03-18。无论如何，该漏洞被第一个攻击者利用了至少一年。

发现的所有公开可用样本的范围为 2022-03-18 至 2023-03-29（这是在与攻击者实际利用尝试相关的样本中找到的最后一个时间戳）。从 2023 年 3 月 15 日开始具有“FirstSeen VT”时间戳的所有其他样本主要是测试或 POC，或者只是缺少目标和参考时间戳详细信息的 TNEF 附件。

样本清单（时间线）

微软官方文章：【 CVE-2023-23397 调查攻击的指南】

https://www.microsoft.com/en-us/security/blog/2023/03/24/guidance-for-investigating-attacks-using-cve-2023-23397/