CVE-2023-23397，是一个权限提升漏洞，攻击者可以利用该漏洞访问受害者的 Net-NTLMv2 响应身份验证哈希并冒充用户。一旦攻击者成功利用 CVE-2023-23397 漏洞，便可通过向受害者发送恶意 Outlook 邮件或任务来窃取 NTLM 身份验证哈希。当 Outlook 客户端检索和处理这些邮件时，这些邮件会自动触发攻击，可能会在预览窗格中查看电子邮件之前导致攻击。换句话说，目标实际上不必打开电子邮件就成为攻击的受害者。3月14日，微软发布了一篇博客文章，描述了Outlook客户端权限提升漏洞(CVSS: 9.8 CRITICAL)。

受影响的产品包括所有受支持的Microsoft Outlook for Windows版本。其他版本的Microsoft Outlook(如Android、iOS、macOS、Outlook on web和其他MS365服务)不受影响。

CVE-2023-23397漏洞

从技术角度来看，该漏洞是一个关键的EoP，当攻击者在扩展MAPI属性中发送Outlook对象（任务、消息或日历事件）时会触发该漏洞，该属性包含指向攻击者控制的服务器上SMB共享的UNC路径，从而导致Net-NTLMv2哈希泄漏。该过程不需要用户交互，NTLM泄漏发生在显示提醒窗口时，而不仅仅是在接收消息时。但是，已经失效的提醒将在收到对象后立即被触发。

与远程SMB服务器的连接在协商消息中发送用户的Net-NTLMv2哈希，攻击者可以使用该消息进行以下操作：

1.中继对支持NTLMv2身份验证的其他系统进行身份验证；

2.离线破解，获取密码；

注意:由于这些是NTLMv2哈希，因此它们不能作为传递哈希技术的一部分加以利用。

受影响的Net-NTLMv2哈希属于当前登录到运行Outlook客户端应用程序的Windows设备的用户，而与接收到恶意消息的身份无关。如果用户没有取消Outlook提醒/任务警报，或者提醒重复出现（即多次触发），则用户的Net-NTLMv2哈希可能会多次泄露。

漏洞修复

CVE-2023-23397的Outlook客户端代码中的修复是Outlook的PlayReminderSound()现在调用IsFileZoneLocalIntranetOrTrusted()，它使用仅在受信任/本地区域中才遵循SMB URI的MapUrlToZone()。这意味着，即使在修复过的MS Outlook客户端上，通往内部网/受信任本地区域的UNC路径仍然可能被滥用(SMB本地利用仍然是可能的)。

似乎实现的修复可以通过伪造特定格式的恶意UNC路径轻松绕过，那么即使是经过修复的客户端也可能存在漏洞(功能绕过漏洞已被分配为CVE-2023-29324，并于2023年5月被修复)。然而，修复程序在服务器端仍然有效，并且攻击载体不可能是CVE-2023-23397修复的Exchange服务器，因为它删除了包含传输中任何对象上恶意UNC路径的扩展MAPI属性。

WebDAV协议

下面有一个关于WebDAV的注释：“注意，基于WebDAV协议的交互不会有通过此漏洞攻击技术泄露凭据的风险。虽然攻击者基础结构可能会请求Net-NTLMv2身份验证，但Windows将遵守定义的互联网安全区域，不会发送（泄漏）Net-NTLMv2哈希。换句话说，该漏洞只影响SMB协议。如果目标设备可以通过端口445（SMB）与攻击者基础设施通信，则可以发送Net-NTLMv2哈希；但是，如果无法通过SMB进行通信，Windows将转而利用WebDAV。WebDAV将建立与攻击者基础设施的连接，但不会发送Net-NTLMv2哈希。”

WebDAV似乎已经对本地内部网/可信资源实施了检查，而MS只在泄漏出现在外部实体时才认为它是有效的。因此，合乎逻辑的假设应该是:“WebDAV协议没有通过这种利用技术向任何网络外部实体泄露凭证的风险”。WebDAV的本地可利用性如何?

UNC路径也可以用于向外部域发出WebDAV请求，要么通过SMB退回到WebDAV，如果SMB到互联网的流量被阻止或以其他方式失败，Windows将退回到“使用WebDAV -如果可用-尝试完成连接”流程，要么通过在主机名中附加“@80”或“@SSL@443”来强制运行WebDAV。
WebDAV （Web-based Distributed Authoring and Versioning） 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1，在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法，使应用程序可对Web Server直接读写，并支持写文件锁定(Locking)及解锁(Unlock)，还可以支持文件的版本控制。

内部测试似乎证实了WebDAV是本地可滥用的，通过在主机名后面附加@

样本

通过向VirusTotal提交样本，这些漏洞被未知攻击者利用的证据已经公开。过去提交给VirusTotal的一些样本后来被发现利用了CVE-2023-23397，还有一些是在漏洞被公开披露后发布的。

在VirusTotal上发现了三种不同的样本：

1.MSG格式(带消息标头的完整电子邮件)->提供使用时间参考和预期目标；

2.EML格式(带消息标头的完整电子邮件)->提供使用时间参考和假定目标；

3.TNEF格式(TNEF格式只有TASK 附件)->没有时间参考和假定目标。

2022年4月，有许多关于这些样本的报道，其中最早的样本时间戳上的“FirstSeen VT”字段是2022年4月14日。

然而，后来的一个样本出现了，用的是 .email格式的TNEF附件， VirusTotal使用的YARA规则的第一个版本没有检测到，其“FirstSeen VT”时间戳为2022年4月1日，邮件标头中的接收时间戳为2022年3月18日。无论如何，第一个攻击者至少有一年的时间可以利用这个漏洞。

目前发现的所有公开可用的样本范围从2022年3月18日到2023年3月29日(这是在与攻击者的真实利用尝试相关的样本中发现的最后一个时间戳)。从2023年3月15日开始，所有其他具有“FirstSeen VT”时间戳的样本主要是测试或POC，或者只是缺少目标和参考时间戳详细信息的TNEF附件。

检测样本时间轴

初始攻击IOC

与攻击相关的IOC是嵌入的恶意UNC路径和 IP，注意不是样本文件的哈希，它只是导出的利用漏洞的恶意任务的MSG/EML格式，对攻击检测/验证无用)。

攻击验证

任何试图与上述IOC中列出的ip / uri进行通信的尝试，以及在任何日志中发现的尝试，都应被视为可疑，并进行进一步调查。

另外，为了确定一个组织是否已经成为利用此漏洞的目标，微软提供了一个脚本文档，该脚本会检查所有Outlook对象(任务、电子邮件消息和日历项)，以查看特定属性是否使用UNC路径填充。如果检测到指向未识别共享的对象，则应该进一步调查它们。

攻击者基础设施

从下图很容易看出，攻击者使用的许多IP在连接设备方面有相似之处。

这显然不是随机的，而是攻击者的共同点。

攻击者使用的一个IP暴露了互联网接入路由器的WebUI：

一些研究人员认为，攻击者可能利用了这些路由器固件中的漏洞来进行攻击，这可能是攻击者发现这个路由器配置了弱/默认凭证并利用了它。

对攻击者使用的网络设备类型的进一步调查证实，它可能是攻击的最佳平台。例如，该路由器通常被客户端的isp使用，其固件提供了可直接通过WebUI访问的命令行界面（CLI）。通过WebUI访问CLI，不会在操作系统日志中留下任何源IP信息，因为该连接来自本地的127.0.0.1，防火墙日志中只会记录WebUI的连接痕迹。

路由器的CLI截图（从测试设备获得）

此外，路由器的操作系统自带Python 2.7，并且已经有一个众所周知的虚假SMB服务器用于收集NTLM哈希值，该服务器由名为“Responder”的黑客工具实现，该工具被编码为Python脚本。值得注意的是，因为扫描尝试与攻击者的样本使用无关，在公共互联网上运行开放的SMB服务器将收到大量连接。因此，我们可以假设攻击者从伪造的SMB服务器收集了所有数据，然后对其进行后处理以排除扫描尝试，仅提取与攻击相关的数据。

无论如何，使用连接到公共互联网的路由器作为攻击源是一种在不依赖主机的情况下收集威胁目标数据的聪明方法，它还包括一种删除恶意活动日志/痕迹的简单方法。ISP路由器的操作系统架构可能有更多方面允许网络犯罪分子利用它进行恶意活动，例如公开的默认凭证或高度不稳定的日志，这些日志没有记录源IP信息，并且可以通过简单的重新启动丢失。例如，对于被认为在攻击中使用的路由器，日志文件夹安装在易失性内存文件系统上：

组织通过定期固件更新、强认证、网络分段、防火墙配置、IDPS部署、监控和日志记录、网络流量分析、员工安全意识培训和定期安全评估来防范针对ISP路由器的网络攻击。

参考及来源：https://securelist.com/analysis-of-attack-samples-exploiting-cve-2023-23397/110202/