Outlook紧急安全防护:全面解析CVE-2023–23397权限提升漏洞及其防御策略 📅 发布时间:2026/7/3 22:48:02 👁️ 浏览次数: Outlook紧急安全防护全面解析CVE-2023–23397权限提升漏洞及其防御策略点击或按回车键查看全尺寸图片来源thesecmaster.com虽然已经过去了一个季度但这个严重的Outlook漏洞仍然是安全领域的热门话题之一。该漏洞公开后许多安全公司、研究人员和威胁猎手都在研究这个Outlook漏洞。你猜对了。我们正在讨论的是严重的Microsoft Outlook漏洞其CVE ID为CVE-2023–23397。这是一个通过发送Outlook消息或日历事件就能轻松利用的漏洞。尽管已经过去了几周我们仍然敦促所有Outlook用户保护你的Outlook免受CVE-2023–23397的攻击成功利用此漏洞可能导致通过触发Net-NTLMv2哈希泄露来未经授权访问组织环境。让我们了解一些关于CVE-2023–23397漏洞的技术细节例如什么是CVE-2023–23397它如何工作其影响是什么以及如何保护你的Outlook免受这个Outlook中的严重权限提升漏洞CVE-2023–23397的攻击。让我们从了解NTLM中继攻击和哈希传递攻击开始这篇技术文章。目录什么是NTLM中继攻击和哈希传递攻击什么是CVE-2023–23397漏洞CVE-2023–23397可能如何被利用该漏洞是否利用了传输中性封装格式TNEF关于WebDAV的说明这个漏洞的影响是什么如何保护你的Outlook免受CVE-2023–23397一个严重的Outlook权限提升漏洞的攻击入侵威胁指标什么是NTLM中继攻击和哈希传递攻击NTLM或NT LAN管理器是微软开发的一种身份验证协议用于在Windows网络中验证用户身份。它基于一种质询-响应机制客户端必须向服务器提供其凭据用户名和密码哈希才能进行身份验证并访问网络资源。现在回到你实际的问题NTLM中继攻击利用NTLM协议中的缺陷允许攻击者在没有用户密码的情况下以该用户身份进行身份验证。在这种攻击中攻击者诱骗受害者尝试与他们控制的机器进行身份验证。然后攻击者中继受害者的身份验证尝试以冒充受害者访问服务。例如攻击者可以中继受害者的凭据以验证文件共享并访问敏感文档。哈希传递与NTLM中继有关它利用了NTLM使用密码哈希进行身份验证的事实。在哈希传递攻击中攻击者获取用户的密码哈希通常通过凭证转储。然后他们可以通过向服务器提供密码哈希而不是实际密码来以该用户身份进行身份验证。这使得攻击者只需拥有哈希而无需破解密码即可访问系统。他们可以将哈希中继到其他系统并冒充受害者。针对这些攻击的防御措施包括阻止来自关键服务器的出站NTLM流量启用SMB签名尽可能使用Kerberos身份验证而不是NTLM以及实施多因素认证。监控异常账户活动也有助于检测进行中的攻击。实施哈希传递缓解措施例如不在网络上存储密码哈希也有助于防御这种技术。现在让我们进入正题。什么是CVE-2023–23397CVE-2023–23397是一个严重的权限提升漏洞于2023年3月在微软的Windows版Outlook中披露。其CVSS严重性评分为9.8分满分10分是一个极其严重的缺陷。此漏洞允许攻击者轻松地从运行Outlook的Windows设备窃取NTLMv2密码哈希。当攻击者发送包含PidLidReminderFileParameter扩展MAPI属性的特制消息时便会触发该漏洞。此属性可以设置为指向攻击者控制的SMB共享的UNC文件路径。当恶意消息的Outlook提醒被触发时Outlook将自动尝试访问指定的SMB共享以播放“提醒声音”文件。这导致Outlook将受害者的NTLMv2密码哈希发送到攻击者的服务器。然后攻击者可以离线破解哈希以获取密码或直接在针对支持NTLMv2身份验证的其他系统的中继攻击中使用该哈希进行横向移动。此漏洞最危险的方面在于利用它不需要用户交互它影响所有Windows版本的Outlook并且它提供了简单的自动化利用方式允许进行大规模攻击。鉴于拥有哈希就像攻击者是合法用户一样提供对系统的访问权限此漏洞会导致大规模的身份和数据盗窃。由于无需用户交互即可轻松利用微软将此漏洞的可利用性评为“更可能被利用”。CVE-2023–23397是一个极其严重的Outlook漏洞允许大规模窃取密码哈希并未经授权访问企业资源。其无需用户交互即可自动化利用的易用性使其成为一个危险的漏洞企业需要立即修补。漏洞CVE-2023–23397可能如何被利用CVE-2023–23397是Microsoft Outlook中的一个极其严重的漏洞允许攻击者轻松窃取NTLMv2密码哈希。攻击者可以通过向Outlook用户发送包含名为PidLidReminderFileParameter的恶意扩展MAPI属性的特制消息来利用此漏洞。为了利用此漏洞攻击者首先在其控制下设置一个SMB服务器用于接收任何泄露的哈希。然后攻击者创建一个包含PidLidReminderFileParameter属性的Outlook消息、任务或日历事件。此属性被设置为指向攻击者SMB服务器的UNC文件路径。点击或按回车键查看全尺寸图片在Windows上设置Outlook客户端以在触发提醒时播放自定义声音来源微软当此恶意项目的Outlook提醒被触发时Outlook将尝试访问指定的SMB共享以播放“提醒声音”文件。这导致Outlook在身份验证尝试中自动将受害者的NTLMv2哈希发送到攻击者的服务器。此漏洞的利用不需要用户交互或特权。受害者只需要在其Outlook收件箱中收到这个“被植入恶意代码”的消息。一旦提醒被触发他们的哈希就会被泄露。此漏洞影响Windows上的所有Outlook版本。一旦攻击者捕获了哈希他们有多种选择例如离线破解哈希以获取密码重用哈希进行横向移动或访问受害者的Outlook数据。一些可能的利用后攻击包括访问受害者在Outlook中存储的敏感电子邮件和文档。使用窃取的凭据转向访问VPN或RDP等远程服务。通过针对NTLM身份验证的资源重用哈希在组织内部进行横向移动。离线破解哈希使用泄露的密码登录面向互联网的系统。从受感染的主机转储凭据以提升访问权限。易于利用、无需用户交互以及强大的入侵后能力使得此漏洞极其危险。攻击者可能利用它大规模收集密码哈希并获得广泛的未授权访问。企业需要紧急应用补丁并缓解此严重缺陷带来的风险。该漏洞是否利用了传输中性封装格式TNEF是的此漏洞利用了Outlook和Exchange使用的传输中性封装格式TNEF。TNEF是微软的一项技术允许格式化的消息内容、附件以及会议请求等其他Outlook特定功能以标准格式传输。TNEF消息既包含纯文本版本也包含一个编码了格式化内容的附件。此附件通常命名为Winmail.dat。TNEF附件包含扩展的MAPI属性如攻击者在CVE-2023–23397中利用的PidLidReminderFileParameter。当Outlook客户端收到TNEF消息时它会解析此附件以重新创建带有所有MAPI属性的完整格式化消息。因此在此次利用中攻击者在TNEF附件中设置了恶意的PidLidReminderFileParameter值。你可以使用名为MFCMAPI的工具查看与对象关联的扩展MAPI属性。当Outlook在接收端处理此消息时被“植入恶意代码”的扩展属性会触发漏洞从而窃取NTLM哈希。点击或按回车键查看全尺寸图片显示扩展MAPI属性值的MFCMAPI屏幕截图来源微软通过利用TNEF攻击者可以可靠地传递恶意MAPI属性同时传输一个对用户来说看似无害且良性的纯文本正文。这有助于向收件人和安全工具隐藏利用活动。关于WebDAV的说明在调查CVE-2023–23397时微软包含了一条关于WebDAV交互的重要说明。它指出通过此漏洞利用WebDAV连接不可能发生凭据泄露。尽管威胁行为者的基础设施可能通过WebDAV请求NTLMv2身份验证但Windows会遵守定义的Internet安全区域。因此在通过WebDAV交互时它不会向外部IP地址发送任何NTLMv2哈希。这意味着虽然攻击者的基础设施可以通过SMB利用CVE-2023–23397将哈希窃取到外部服务器但通过WebDAV则不会发生同样的情况。如果SMB通信被阻止Windows将回退到WebDAV但哈希不会通过这种方式泄露到外部。然而Securelist确实警告说通过WebDAV进行本地利用仍有可能。例如攻击者可能设置一个内部WebDAV服务器从已收到恶意负载的Outlook客户端捕获哈希。这个漏洞的影响是什么CVE-2023–23397由于易于利用和提供的强大入侵后能力而具有巨大的影响。正如微软安全博客所指出的窃取Net-NTLMv2哈希使威胁行为者能够绕过身份验证并获得对资源的未授权访问。观察到的入侵后行为包括利用窃取的哈希通过中继攻击进一步入侵Exchange服务器。威胁行为者还可能滥用受损帐户的权限向内部和外部收件人发送额外的恶意消息。这证明了哈希在受害者组织内部进行横向移动的效用。点击或按回车键查看全尺寸图片CVE-2023–23397的实际利用——威胁行为者试图未经授权访问Exchange服务器并修改邮箱文件夹权限来源微软进一步令人担忧的入侵后活动涉及使用Exchange Web Services API枚举和修改用户邮箱文件夹的权限。通过授予对所有邮箱文件夹的“所有者”权限威胁行为者建立了额外的持久性。即使用户的密码被重置这也能授予持续的访问权限。点击或按回车键查看全尺寸图片受感染环境中横向移动的示例来源微软仅仅通过获取Net-NTLMv2哈希就能获得如此特权级的持久访问并进行横向移动突显了此漏洞的巨大影响。它有效地充当了威胁行为者完全入侵用户身份并利用提升的权限进行大规模数据窃取的网关。如何保护你的Outlook免受CVE-2023–23397一个严重的Outlook权限提升漏洞的攻击组织可以采取以下几个步骤来保护Outlook免受这个严重的权限提升漏洞CVE-2023–23397的攻击尽快修补Outlook客户端的安全更新。这通过将PidLidReminderFileParameter路径限制为仅限本地和受信任网络来阻止利用。审查用户报告的任何可疑消息、任务或日历邀请并分析是否存在利用迹象。即使初步检查未发现任何明显恶意内容也要检查扩展MAPI属性中是否存在指向不受信任网络的、可疑的PidLidReminderFileParameter值。运行微软提供的Exchange扫描脚本以检查包含设置为不受信任UNC路径的PidLidReminderFileParameter属性的消息。通过在边界和端点日志中搜索相关入侵威胁指标来调查任何检测到的路径。删除或修改检测到的消息。考虑为大型环境定制扫描方法例如优先扫描高价值用户、限制扫描的日期范围或按用户组进行批量处理。检查端点上的SMBClient事件日志查找指示连接到威胁行为者控制服务器的尝试被阻止的连接错误。事件ID 30800、30803、30806、30804和31001可能揭示可疑的远程服务器。检查端点进程是否执行了WebClient服务从而建立到不受信任IP的WebDAV连接。如果SMB流量被阻止并且Outlook为利用此漏洞而回退到WebDAV则可能发生这种情况。收集并分析相关的Exchange Server日志如EWS、OWA、跟踪、IIS和PowerShell日志。查找NTLM身份验证异常以及邮箱枚举/修改的证据。使用此工具帮助组织收集相关的Exchange Server日志。监控外围安全设备是否存在任何到互联网或可疑公共IP的出站SMB连接。尽可能禁用或严格限制SMB流量。为此漏洞利用中受损的任何用户重置密码因为窃取的哈希在更改前仍然有效。启动事件响应以遏制和清除已获得的任何访问权限。将关键帐户如管理员添加到受保护的用户组以强制使用Kerberos并禁用NTLM身份验证。这可以防止哈希被盗。部署多因素认证以通过阻止重放来减轻任何哈希泄露的影响。请注意这并不能阻止哈希被捕获。禁用Exchange Server中不必要的服务和端口以减少攻击面。仅限受信任来源的入站SMB连接。更新Exchange Server以启用额外的缓解措施例如阻止传输具有可疑MAPI属性的消息。监控Microsoft Defender for Endpoint和Microsoft Defender for Office 365中表明利用尝试的相关检测。在安全工具集中开发自定义威胁追踪查询以发现NTLM中继攻击、异常Exchange身份验证和出站SMB连接的迹象。对员工进行关于此网络钓鱼技术的安全意识培训以帮助识别针对其帐户的利用尝试。总之保护Outlook需要及时修补客户端、在消息和服务器日志中搜寻利用迹象、限制攻击面如SMB和NTLM以及实施多因素认证和其他缓解控制措施。持续的检测和响应能力也至关重要。入侵威胁指标以下是可用于分析和阻止利用CVE-2023–23397的攻击的关键入侵威胁指标IOC。恶意域名:无恶意IP地址:5.199.162[.]132101.255.119[.]42181.209.99[.]204213.32.252[.]221168.205.200[.]5569.162.253[.]21185.132.17[.]16069.51.2[.]106113.160.234[.]22985.195.206[.]724.142.165[.]261.14.68[.]3342.98.5[.]22582.196.113[.]102恶意文件哈希:92df1d2125f88d0642e0d4919644376c09e1f1e0eaf48c31a6b389265e0d5576恶意SMB服务器路径:\5.199.162[.]132\SCW101.255.119[.]42\event\2431101.255.119[.]42\mail\a5b3553d181.209.99[.]204\information213.32.252[.]221\silence168.205.200[.]55\test213.32.252[.]221\fwd69.162.253[.]21\pets185.132.17[.]160\aojv4369.51.2[.]106\report113.160.234[.]229\istanbul85.195.206[.]7\lrmng24.142.165[.]2\req85.195.206[.]7\power61.14.68[.]33\rem42.98.5[.]225\ping\通过在电子邮件网关、防火墙、端点保护系统和日志记录/分析工具中阻止这些入侵威胁指标组织可以保护自己免受试图在野外利用CVE-2023–23397的攻击。此外卡巴斯基分享了提交给VirusTotal的示例文件列表VirusTotal样本:2022–03–18 — лист.emlHappy Birthday…msgCelebration.msgInformation!.msgSilence…emlInterest…msgInformation!.msgFwd…msgFwd…msgFwd…msgSilence…msgSilence…msgReport.emlTicaret.msgUnknownAlarms!.msgPower!Reminder!Reminder!.emlReminder!.emlCC.eml这些VirusTotal提交的样本提供了额外的来源可用于调整安全工具的检测并阻止对CVE-2023–23397的利用。在可能的情况下还可以利用独特的文件名在电子邮件网关上检测和阻止恶意电子邮件。分析这些样本有助于了解此漏洞何时开始在野外被利用的完整时间线。总之CVE-2023–23397代表了一个极其危险的漏洞允许从Outlook客户端轻松可靠地窃取高权限的NTLMv2密码哈希。其可蠕虫化的特性、无需用户交互以及强大的入侵后影响使攻击者能够大规模窃取身份和数据。组织必须应用紧急缓解措施如修补、强化Outlook和Exchange配置、强制实施多因素认证以及实施强大的威胁追踪来检测利用尝试。针对这一关键威胁的持续警惕和响应能力至关重要。通过采取主动的安全态势公司可以保护其用户和关键业务资产免受利用此漏洞的攻击。这似乎并不是CVE-2023–23397一个严重的Outlook权限提升漏洞的终结。请持续访问博客或订阅新闻通讯以获取最新信息。我们希望这篇文章能帮助你了解如何保护你的Outlook免受CVE-2023–23397一个严重的Outlook权限提升漏洞的攻击。感谢阅读这篇文章。请分享这篇文章并帮助保护数字世界。访问我们的网站thesecmaster.com以及我们在Facebook、LinkedIn、Twitter、Telegram、Tumblr、Medium和Instagram上的社交媒体页面并订阅以接收此类更新。本文最初发表在thesecmaster.com上。我们感谢所有一直支持我们工作的人并请求你访问thesecmaster.com以获取更多此类文章。FINISHEDCSD0tFqvECLokhw9aBeRqjfxZ4PrBeJ32jg1EUzPRKM6rIraV19AfJTJ1Sk6bj8gweCcUvBmaQpSs2FdqOtRZKqtbQvCExot4vSWJnS6bo7bBPSw9ZuSHojsMMfYWWALiFs6TPDPrnzfHXHLEOpz4cl3rxON7oonKi8X2Mc3x68g5kVjKSjxETvkaNwx38C2更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享
基于RAG的智能客服系统实战:聚客AI架构解析与性能优化 开篇:传统客服系统的“三座大山” 在深入聚客AI的RAG系统之前,我们先聊聊为什么需要它。传统的基于规则或简单检索的客服系统,在今天的业务场景下,常常面临三个难以逾越的痛点,我称之为“三座大山”。 第一座山是知识更… 2026/7/3 22:47:27
ChatTTS Colab 下载实战指南:从环境搭建到高效部署 最近在尝试用ChatTTS做一些有趣的语音合成项目,发现直接在本地部署环境配置起来有点麻烦,尤其是依赖冲突和模型下载速度慢的问题。于是我把目光投向了Google Colab,这个免费的云端环境简直是实验神器。经过一番折腾,总算总结出了一… 2026/5/17 6:16:19
基于STM32嵌入式毕业设计题目的实战开发指南:从选题到部署的完整闭环 作为一名嵌入式方向的过来人,我深知做一个STM32毕业设计,从开题到最终答辩,中间有多少“坑”。很多同学最后交上去的代码,可能连自己都看不懂,更别提答辩老师的“灵魂拷问”了。今天,我就以“低功耗环境监测… 2026/7/2 23:47:58
【2024实时语音翻译黄金标准】:基于OpenAI Whisper-v3 + GPT-4o Stream API的零丢帧对话方案(附可运行GitHub仓库) 更多请点击: https://intelliparadigm.com 第一章:ChatGPT语音对话实时翻译的演进与挑战 从早期基于规则的语音识别系统,到端到端深度学习模型的普及,ChatGPT集成语音对话与实时翻译的能力经历了显著跃迁。这一演进不仅依赖大语言… 2026/7/3 22:44:05
猫抓Cat-Catch终极指南:三分钟掌握网页视频音频资源下载 猫抓Cat-Catch终极指南:三分钟掌握网页视频音频资源下载 【免费下载链接】cat-catch 猫抓 浏览器资源嗅探扩展 / cat-catch Browser Resource Sniffing Extension 项目地址: https://gitcode.com/GitHub_Trending/ca/cat-catch 想要轻松获取网页中的视频和音… 2026/7/3 22:42:03
从零开始漏洞研究:白帽黑客的职业路径与实战指南 1. 从兴趣到职业:安全漏洞研究的价值与路径很多人第一次听说“挖漏洞能赚钱”时,第一反应往往是好奇和怀疑。这听起来像是一个充满神秘色彩的技术领域,似乎只有顶尖黑客才能涉足。实际上,随着数字世界的边界不断扩展,从… 2026/7/3 22:38:02
AD74413R与MK64FN1M0VDC12的同步采集与输出优化方案 1. AD74413R与MK64FN1M0VDC12的硬件架构解析AD74413R是一款高度集成的混合信号前端芯片,其核心架构由Σ-Δ型ADC和电阻串DAC组成。这款芯片的独特之处在于采用单电源供电(典型值4.5V至5.5V)却能实现10V的输入输出范围,这得益于内部… 2026/7/3 22:38:02
基于TB9051FTG与PIC32的静音电机控制方案 1. 项目背景与核心器件选型在工业自动化和消费电子领域,直流电机因其结构简单、控制方便等优势被广泛应用。然而传统PWM调速方案存在明显的电磁噪声问题,特别是在低速运行时更为突出。本项目采用东芝TB9051FTG电机驱动芯片与Microchip PIC32MZ2048EFH144… 2026/7/3 22:36:01
STM32与DRV8213实现智能风扇散热系统设计 1. 项目背景与核心需求解析在汽车电子和工业控制领域,电子系统的散热管理一直是设计难点。随着处理器性能提升和功能集成度增加,传统被动散热方案已无法满足需求。我曾参与一个车载信息娱乐系统项目,在高温环境下频繁出现处理器降频问题&… 2026/7/3 22:36:01
如何5分钟快速上手XUnity.AutoTranslator:打破语言障碍的游戏翻译神器终极指南 如何5分钟快速上手XUnity.AutoTranslator:打破语言障碍的游戏翻译神器终极指南 【免费下载链接】XUnity.AutoTranslator 项目地址: https://gitcode.com/gh_mirrors/xu/XUnity.AutoTranslator 你是否曾经因为语言障碍而错过精彩的游戏剧情?面对日… 2026/7/3 0:01:58
3种策略管理Playnite便携版:从基础部署到高级维护的完整指南 3种策略管理Playnite便携版:从基础部署到高级维护的完整指南 【免费下载链接】Playnite Video game library manager with support for wide range of 3rd party libraries and game emulation support, providing one unified interface for your games. 项目地址… 2026/7/3 0:05:59
2026江苏三维扫描仪定制厂家:一条很现实的分水岭——“会用”和“用对” 在江苏制造业的三维扫描项目里,有一个很容易被忽略的分界线: 👉 会用设备,不等于用对设备。 尤其在江苏GOM三维扫描仪定制厂家、江苏蔡司3D扫描仪定制厂家项目中,这条分界线会直接决定系统最终是“工具”,还… 2026/7/3 0:07:59