研究员披露如何利用Outlook 漏洞泄露 NTLM 密码

该漏洞的编号是CVE-2023-35636（CVSS评分6.5），已在2023年12月的补丁星期二中修复。微软在上周发布的安全公告中提到，“在邮件攻击场景下，攻击者可将特殊构造的文件发送给用户并说服用户打开该文件，从而利用该漏洞。”在 web 攻击场景中，攻击者可托管包含特殊构造文件的网站（或利用接受或托管用户提供内容的受陷网站），利用该漏洞。”换句话说，攻击者必须说服用户点击内嵌在钓鱼邮件中的链接或通过即时消息发送的链接，之后诱骗用户打开文件。

CVE-2023-35636的根因在于 Outlook 邮件应用中的日历共享功能。在该应用中，通过插入两个具有构造值的标头 “Content-Class” 和 “x-sharing-config-url” 就能创建恶意邮件信息，从而在认证过程中暴露受害者的 NTLM 哈希。

发现并报告该漏洞的是 Varonis 公司的研究员 Dolev Taler，他指出可通过利用 WPA 和 Windows File Explorer 的方式泄露 NTLM 哈希。不过，这两种攻击方式仍未修复。Taler 指出，“有意思的是，WPA 试图在公开网络使用 NTLM v2 进行认证。通常而言，在尝试认证内部的基于IP地址服务时才会使用 NTLM v2.然而，当通过开放互联网传递 NTLM v2 时，它易受中继攻击和离线暴力破解攻击。”

前不久，Check Point 公司披露了一起“强制认证”案例。通过诱骗受害者打开恶意Microsoft Access 文件，就能武器化“强制认证”以泄露 Windows 用户的 NTLM 令牌。2023年10月，微软公布将在 Windows 11 中用安全性更好的 Kerberos 取代 NTLM，理由是NTLM 不支持加密方法且易受中继攻击。