Severity: Critical

CVSS:3.1 9.8

Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Mô tả:

Ngày 14 tháng 3 năm 2023, Microsoft Threat Intelligence đã phát hiện ra một lỗ hổng bảo mật trong Microsoft Outlook dành cho Windows cho phép kẻ tấn công đánh cắp thông tin xác thực của trình quản lý mạng LAN (NTLM - new technology LAN manager) công nghệ mới. Ngay sau đó, Microsoft đã phát hành CVE-2023-23397 để giải quyết lỗ hổng leo thang đặc quyền (EoP - Elevation of Privilege) nghiêm trọng ảnh hưởng đến Microsoft Outlook cho Windows.

Chi tiết hơn, CVE-2023-23397 là một lỗ hổng EoP nghiêm trọng trong Microsoft Outlook, được kích hoạt khi kẻ tấn công gửi một email đặc biệt: có thuộc tính MAPI mở rộng, với một đường dẫn UNC đến cổng SMB (TCP 445) trên máy chủ do kẻ tấn công kiểm soát. Kết nối này sẽ tự động được kích hoạt khi nó được Outlook client truy xuất và xử lý mà không cần tương tác của người dùng.

Sau khi đã khai thác thành công, kẻ tấn công có thể truy cập Net-NTLMv2 hash của người dùng. Chuỗi hash này sau đó có thể được sử dụng cho một cuộc tấn công Chuyển tiếp NTLM đối với các hệ thống khác hỗ trợ xác thực NTLM để xác thực dưới định danh của người dùng.

Hiện tại lỗ hổng đang được khai thác rộng rãi trên internet.

Sản phẩm bị ảnh hưởng:

Tất cả các phiên bản được hỗ trợ của Microsoft Outlook dành cho Windows đều bị ảnh hưởng.

Sản phẩm không bị ảnh hưởng:

Các phiên bản Microsoft Outlook khác như Android, iOS, Mac và Outlook ứng dụng web
Các dịch vụ M365 khác đều không bị ảnh hưởng

Cách phòng tránh:

Đối với users:
Cập nhật, cài đặt Outlook security update:

Kiểm tra Microsoft Update:

Nếu chức năng automatic update của Microsoft đã được bật thì ứng dụng sẽ được tự động cập nhật, user không cần thao tác thêm.
Nếu chưa, user có thể tham khảo để bật chức năng tự động cập nhật tại https://support.microsoft.com/en-us/windows/turn-on-automatic-app-updates-70634d32-4657-dc76-632b-66048978e51b#ID0EBD=Windows11

User cũng có thể tham khảo tự cập nhật Outlook theo hướng dẫn phần Security Updates tại https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

User cũng có thể thực hiện Block TCP 445/SMB chiều outbount trên Windows Firewall:

Bước 1: Mở Control Panel
Bước 2: Click mở Windows Defender firewall
Bước 3: Click mở advanced settings
Bước 4: Click chọn outbound rules và click tạo new rule:
Bước 5: Click chọn Rule type: port và bấm next
Bước 6: Tại Specify remote ports: điền 445, chọn TCP và bấm next.
Bước 7: Tiếp theo chọn block the connection và chọn next.
Bước 8: Chọn Domain, Private and Public và bấm next.
Bước 9: Đặt tên rule và ghi chú description rồi bấm finish.

Đối với quản trị viên:

Network admin có thể thực hiện Block TCP 445/SMB chiều outbount trên firewall, VPN settings.
Domain controller admin có thể cân nhắc thêm người dùng vào Protected Users Security Group để ngăn chặn việc sử dụng NTLM làm cơ chế xác thực. https://www.rebeladmin.com/2016/02/active-directory-protected-users-security-group/
Microsoft cũng đã phát hành tập lệnh PowerShell (CVE-2023-23397.PS1 https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/ ) để quản trị viên chạy trên máy chủ để kiểm tra sự tồn tại của đường dẫn UNC trong các messaging items như mail, calendar và tasks.

Tham khảo:

https://nvd.nist.gov/vuln/detail/CVE-2023-23397

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/

https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/

https://practical365.com/cve-2023-23397-ntlm-vulnerability/

https://github.com/search?q=CVE-2023-23397