Outlook 漏洞链可导致零点击 RCE

该漏洞编号为CVE-2023-23397，由微软在2023年3月修复，当时该漏洞已被俄罗斯国家黑客组织利用一年左右。未认证攻击者可发送包含非恶意通知链接的邮件提醒，诱骗 Outlook 客户端连接到受害者的服务器，导致 Net-NTLMv2 哈希被发送到服务器。利用该漏洞无需用户交互，因为当邮件被服务器接收和处理时，该漏洞会被立即触发。微软通过一个 API 函数调用修复了该漏洞，该函数会检查路径确保未指向互联网URL。

然而该调用的函数可被诱骗认为该远程路径是本地路径，方法就是将特殊构造的URL 包含在邮件中。Akamai 发现了该漏洞，编号为CVE-2023-29324，由微软在今年5月份修复。然而，该漏洞只是Akamai 公司在研究 Outlook 零点击漏洞时找到的其中一个绕过。

Akamai 发现的第二个绕过是 CVE-2023-35384，已在微软8月补丁星期二中修复。该漏洞是一个路径混淆漏洞，可通过特殊构造的 URL 利用，但需要用户交互。微软在公告中提到，“攻击者可构造一个恶意文件或发送恶意URL，躲避 Security Zone 的标记，从而导致浏览器和一些自定义应用使用的安全特性的完整性和可用性有限丢失。”

10月份，微软修复了另外一个与该 Outlook 攻击向量相关的另外一个漏洞CVE-2023-36710。该漏洞是位于 ACM 中的一个整数溢出漏洞，根因在于解析 Windows 上的声音文件方式。ACM 负责处理 WAV 文件中codec 需要被自定义解码器解码的情况。这些codec 由与内核模式下驱动功能相近但通过ACM注册的驱动处理。该漏洞位于 ACM 管理器中的 mapWavePrepareHeader 函数中。由于在将字节添加到目的缓冲区的大小时未检查溢出情况，因此攻击者可触发非常小的缓冲区的分配，导致两个界外写后果。

Akamai 在文档中提到，“我们设法使用 IMA ADP codec 触发了该漏洞。文件大小大约是1.8GB。通过在计算中执行数学限制操作，我们可认为具有IMA ADP codec的最小可能的文件大小是1GB。”

Akamai 公司提到，攻击者可在 Outlook 客户端或另外一款即时消息应用上下文中成功利用该漏洞，在无需用户交互的情况下实现远程代码执行后果。Akamai 提到，“截止目前，我们所研究的Outlook 攻击面仍然存在，仍可找到和利用新的漏洞。尽管微软修复了 Exchange 释放包含 PidLidReminderFileParameter 属性的邮件，但我们无法排除绕过该缓解措施的可能性。”