专家详述了可能导致NTLM V2哈希密码泄露的Microsoft Outlook漏洞

影响Microsoft Outlook的漏洞CVE-2023-35636是一个Microsoft Outlook信息泄露问题，可能被威胁行为者利用来访问NT LAN Manager (NTLM) v2哈希密码。

NTLMv2代表NT LAN Manager版本2，是Microsoft Windows网络中使用的身份验证协议。它是对原始NTLM协议的改进，旨在解决一些安全漏洞。
攻击者可以诱骗受害者点击电子邮件或即时消息中包含的链接，然后说服他们打开专门制作的文件。另一种情况是，恶意文件可以由攻击者控制的网站托管。

Microsoft通过发布2023年12月的Patch Tuesday安全更新解决了CVE-2023-35636（CVSS分数：6.5）的漏洞。

IT巨头发布的咨询中写道：“在电子邮件攻击场景中，攻击者可以通过向用户发送专门制作的文件并说服用户打开该文件来利用漏洞。” “在基于网络的攻击场景中，攻击者可以托管一个网站（或利用接受或托管用户提供内容的受感染网站），其中包含一个专门制作的旨在利用该漏洞的文件。”

该漏洞由Varonis的Dolev Taler发现，他还发布了对该问题的技术分析。

Taler解释说，该问题利用了Microsoft Outlook中的日历共享功能。通过添加两个标头（“Content-Class”和“x-sharing-config-url”），可以创建专门制作的邮件，从而共享内容和联系指定的机器拦截NTLM v2哈希。

Taler写道：“Varonis威胁实验室发现了新的Outlook漏洞（CVE-2023-35636），并提出了三种新方法来利用Outlook、Windows性能分析器（WPA）和Windows文件资源管理器访问NTLM v2哈希密码。” “一旦攻击者获得这些密码，他们就可以尝试进行离线暴力攻击或身份验证中继攻击，从而入侵账户并获得访问权限。”

Taler解释说，该问题还可以通过Windows性能分析器（WPA）和Windows文件资源管理器进行利用。安全补丁并没有解决WPA和Windows文件资源管理器中此漏洞的潜在利用问题。

以下是一些保护组织免受NTLM v2攻击的建议：

使用SMB签名功能可以防止SMB流量遭到篡改和中间人攻击。它通过为所有SMB消息进行数字签名来工作。可以检测到对数字签名SMB消息的任何更改。SMB签名已在Windows Server 2022及更高版本以及Windows 11企业版（从内部预览版构建25381开始）上默认启用。
从Windows 11（25951）开始阻止传出NTLM v2。微软添加了阻止传出NTLM身份验证的选项。
尽可能强制使用Kerberos身份验证，并在网络和应用级别上阻止NTLM v2。

原文始发于微信公众号（黑猫安全）：专家详述了可能导致NTLM V2哈希密码泄露的Microsoft Outlook漏洞