A CVE-2023-23397 egy aktívan kihasználható Zero-Day sérülékenység, amely a Microsoft Outlookot érinti és márciusi 14-én jelentették. Az NTLM Relay támadási technikát használva egy külső támadó létrehozhat egy olyan e-mailt, amely a célpont Outlook kliense által lekérdezve és feldolgozva kapcsolatot hoz létre a célponttól egy külső, a támadók által ellenőrzött helyre. Ezzel pedig a támadó megismerheti a célpont Net-NTLMv2 lenyomatát, hogy azzal hitelesítse magát egy másik szolgáltatással szemben.
Érintett rendszerek és alkalmazások
- Microsoft Outlook 2016 (64-bit edition)
- Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
- Microsoft Outlook 2013 RT Service Pack 1
- Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
- Microsoft Office 2019 for 32-bit editions
- Microsoft Office 2019 for 64-bit editions
- Microsoft 365 Apps for Enterprise for 64-bit Systems
- Microsoft Office LTSC 2021 for 64-bit editions
- Microsoft Outlook 2016 (32-bit edition)
- Microsoft Office LTSC 2021 for 32-bit editions
Technikai részletek
A Microsoft által szolgáltatott információk szerint az NTLM Relay támadás lehetővé teszi a támadó számára, hogy a szerver és a kliens közé helyezkedjen, és így lehallgassa az autentikációs kommunikációt.
A Microsoft által biztosított PowerShell script elemzése arra utal, hogy a támadó visszaélhet az Exchange üzenetekben található speciális jellemzőkkel, különösen a következőkkel: “PidLidReminderFileParameter” és a “PidLidReminderOverride”. Az első szabályozza, hogy az Outlook-kliens milyen fájlnevet adjon meg, amikor a levélküldeményre vonatkozó emlékeztető aktiválódik. Az utóbbi meghatározza, hogy a kliensnek figyelembe kell-e vennie a “dispidReminderPlaySound” (PidLidReminderPlaySound) és a “dispidReminderFileParam” (PidLidReminderFileParameter) tulajdonságok értékeit. Ezután, mivel a PidLidReminderFileParameter elfogad egy fájlnevet paraméterként, a támadó kihasználhatja azt egy UNC elérési útvonal megadásához, amellyel a “PidLidReminderOverride”-ban az NTLM-hitelesítést kiválthatja.
A támadó tevékenysége a sérülékenység kihasználása után
Az NTLM Relay támadás sikeres végrehajtása lehetővé teszi a támadó számára, hogy jogosulatlanul hozzáférjen a vállalati erőforrásokhoz. Az érintett eszköztől függően ez magában foglalhatja a Windows-rendszerek helyi hitelesítését és az Active Directory Domain Controllereken tárolt Windows-jelszavakat.
A kompromittált rendszerhez való helyi hozzáférés esetén a támadások előrehaladása a Group Policy-konfigurációktól és a biztonsági beállításoktól függően változhat. A lehetőségek közé tartoznak többek között a következők:
- Helyi fiók létrehozása
- Gépi fiók létrehozása
- Lateral movement
- Adatok kiszivárgása
- Perzisztencia-mechanizmusok létrehozása
- Rosszindulatú eszközök bevezetése a környezetbe
- Távoli kódvégrehajtás (RCE)
- Offline jelszófeltörési támadások
Átmeneti megoldások, veszélyek enyhítése
A felhasználók hozzáadása a Protected Users Security Grouphoz, amely megakadályozza az NTLM autentikációs mechanizmusként történő használatát. Ennek a védelmi mechanizmusnak az elvégzése egyszerűbbé teszi a hibaelhárítást, mint az NTLM letiltásának más módszerei.
Megjegyzés: ez hatással lehet az NTLM-et igénylő alkalmazásokra, azonban a beállítások visszaállnak az eredeti konfigurációra, amint a felhasználó kikerül a védett felhasználók csoportjából.
A TCP 445/SMB kimenő forgalmának blokkolása a hálózaton perimeter tűzfal, lokális tűzfal és a VPN-beállítások segítségével. Ez megakadályozza az NTLM autentikációs üzenetek küldését a távoli fájlmegosztókhoz.
Útmutató az észleléshez
A Kudelski Security a Microsoft által nemrégiben közzétett alábbi PowerShell scriptet ajánlja az érintett Exchange-kiszolgálók ellenőrzésére és a támadás lehetséges jelzőinek, például a sebezhetőséget kihasználó rosszindulatú e-mail küldések azonosítására:
A Microsoft közleménye szerint a script ellenőrzési módja azt vizsgálja, hogy az Exchange-en belüli elemek, például levelek, feladatok vagy naptárbejegyzések rendelkeznek-e UNC (Universal Naming Convention) elérési útvonallal jelölt tulajdonsággal. Például: “\\host-name\share-name\file_path”.
A PowerShell script tartalmaz egy Cleanup Mode-ot is, amely törli a gyanús UNC tulajdonságokat tartalmazó üzeneteket.
Készítette:
Papp Norbert
Információbiztonsági Rendszermérnök
Hivatkozások:
- https://research.kudelskisecurity.com/2023/03/15/cve-2023-23397-microsoft-outlook-privilege-elevation-critical-vulnerability/
- https://www.cisa.gov/news-events/alerts/2023/03/14/cisa-adds-three-known-exploited-vulnerabilities-catalog
- https://practical365.com/cve-2023-23397-ntlm-vulnerability/
- https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/
