现在已修补的Outlook零日漏洞获得了PoC和日益增长的担忧
Microsoft Outlook 零日漏洞警报
关键要点
微软 Outlook 存在一个关键的零日漏洞,编号为 CVE202323397,CVSS 评分为 98。攻击者可以通过发送精心制作的恶意邮件来触发此漏洞,导致特权提升攻击。截至目前,安全研究人员已经确认这一漏洞被多个攻击者利用,波及多个行业。建议所有用户立即更新 Outlook 系统并运行微软提供的脚本,以检测恶意邮件。近日,安全团队对微软本月初修复的一个关键零日漏洞发出了警报。该漏洞可导致攻击者在所有版本的 Microsoft Windows Outlook 中发起特权提升攻击。专家担心,最近发布的概念证明攻击以及漏洞易于利用的特性,可能导致这一漏洞的“广泛、快速采用”。
该漏洞被追踪为 CVE202323397,CVSS 评分达到了 98。攻击者只需发送一封精心制作的邮件,待其通过 Outlook 客户端处理后即可触发漏洞。这意味着未打补丁的 Windows Outlook 版本将会受到影响。
MDsec 的研究人员在 3 月 14 日发布了概念证明,展示了他们能够创建一个恶意 Outlook 日历约会,一旦打开邮件便会立即触发 NTLM 身份验证。正如 Deep Instinct 所指出的,利用这一漏洞还可以通过 Outlook 中的恶意任务来实现。
NTLM 是一种认证协议,首次在 1993 年的 Windows NT 31 中推出,已经逐渐被淘汰并被认为是安全隐患。使用 NTLM 的最大问题在于其受到一种名为 pass the hash 的黑客技术 的攻击。更新的协议如 Kerberos 已经取代了过时的 NTLM 安全措施。
Deep Instinct 在 3 月 16 日的博客文章中指出:“这样的邮件可能会导致在预览窗格中未查看邮件时就被利用,这允许攻击者通过迫使目标设备向攻击者控制的服务器进行身份验证,从而盗取凭据哈希。”
坚果加速器安卓版Deep Instinct 还报告 发现了其他利用该漏洞的样本,包括乌克兰网络机构报告给微软的潜在攻击。这一案件使软件巨头确认,2022 年 4 月至 12 月期间,一名俄罗斯基础的威胁演员利用该漏洞入侵了欧洲的军事、能源、交通和政府机构。
研究人员指出,该漏洞可能在 2022 年之前就被伊朗利用,Deep Instinct 威胁实验室观察到 NTLM 爬取活动早在 2020 年就已存在。俄罗斯和伊朗之间有网络合作协议。
根据微软的说法,Android、iOS、Mac 和 Web 版 Outlook 的其他版本不受影响,但安全研究人员强烈建议所有使用 Outlook 应用程序的用户尽快更新他们的系统,并运行微软提供的 PowerShell 脚本 来追溯检测恶意邮件。
确保及时更新系统与安全补丁,是保护个人及企业信息安全的关键一步。