CVE-2024-20670 报告 - 新 OutlookNTLM 泄漏和文件执行

导语： 近日，研究人员揭示了新 Outlook 应用程序的一个关键漏洞，该漏洞可能导致用户的 NTLM 哈希泄露和远程执行可执行文件。以下是该研究人员发现漏洞并整改的全过程。

漏洞发现：在一次团队讨论中，研究人员注意到 CheckPoint 的 MonikerLink 漏洞，并探讨了是否可以通过 WebDAV 协议进行攻击。测试后发现，由于 SMB 被阻止，无法降级攻击。

在检查 Microsoft Outlook 版本时，研究人员发现了新 Outlook，并发现其版本号为“1.2024.214.400”，引起了注意。

漏洞利用过程：研究人员尝试在新 Outlook 中使用 MonikerLink 漏洞获取 NTLM 哈希泄露，但发现出现了意外情况。新 Outlook 似乎无法像传统 Outlook 那样泄露哈希。

通过分析网络流量，研究人员发现了一个有趣的现象：当在电子邮件中发送 file:// 路径链接时，新 Outlook 会自动将其附加到 URL 中。通过 SafeLinks，该漏洞可能导致用户的 NTLM 哈希泄露。

在尝试利用 WebDAV 协议时，研究人员遇到了困难，但意识到可以利用 file:// 协议执行远程文件。通过远程执行可执行文件，攻击者可以利用此漏洞执行恶意代码。

这里可以查看到相关漏洞过程：

https://mpizzicaroli.github.io/missfile/