上传时间:2023-03-28
一、基本情况
近日,通过对互联网舆情跟踪发现,Microsoft Outlook 组件存在权限提升漏洞(CVE-2023-23397),Microsoft Outlook是由微软公司 所出品 Microsoft Office内的个人信息管理系统软件,功能包括收发电子邮件、日历等等。它也是与Microsoft Exchange Server互相搭配的组群软件。
该漏洞是一个身份验证绕过漏洞。未经身份验证的远程攻击者仅通过向受影响的系统发送特制电子邮件,从而访问用户的Net-NTLMv2哈希,进而可以在中继攻击中使用此哈希来冒充用户,从而有效地绕过身份验证,目前该漏洞POC已公开,存在在野利用。
二、事件受影响范围
本次事件主要受漏洞影响的版本为:
Microsoft Outlook 2016 (64-bit edition)
Microsoft Outlook 2016 (32-bit edition)
Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office 2019 for 32-bit editions
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft 365 Apps for Enterprise for 32-bit Systems
三、安全建议
鉴于此次事件影响范围广泛、影响程度较高,因此建议采取如下措施进行安全防护:
目前微软官方已针对受支持的产品版本发布了修复该漏洞的安全补丁,建议受影响用户开启系统自动更新安装补丁进行防护。针对未成功安装更新补丁的情况,可直接下载离线安装包进行更新,链接如下:https://msrc#microsoft#com/update-guide/en-US/vulnerability/CVE-2023-23397 (井号改为英文点)
若受影响用户无法进行正常升级,则可通过以下操作来规避此漏洞:
1、将用户添加到受保护的用户安全组,以防止使用 NTLM作为身份验证机制。
2、用户可通过在网络中同时使用外围防火墙和本地防火墙,并通过VPN设置来阻止TCP445/SMB从网络出站。
文章来源:国家互联网应急中心