-赛博昆仑漏洞安全通告-

Microsoft Outlook特权提升漏洞风险通告(CVE-2023-23397)和洞见平台热补丁更新

漏洞描述   

Microsoft Office Outlook是微软办公软件套装的组件之一，它对Windows自带的Outlook express的功能进行了扩充。Outlook的功能很多，可以用它来收发电子邮件、管理联系人信息、记日记、安排日程、分配任务。

近日，赛博昆仑CERT监测到Microsoft Outlook特权提升漏洞CVE-2023-23397的漏洞细节已被公开。

经过分析判断该漏洞非常严重，攻击者向目标用户发起带有恶意UNC地址的邮件，Outlook客户端处理时将向攻击者的UNC地址发起NTLM身份验证，随后攻击者即可获取到运行Outlook客户端主机上的NTLM哈希值。

赛博昆仑CERT复现截图如下：

经调试发现漏洞触发时栈回溯为

• 赛博昆仑-洞见平台

赛博昆仑-洞见平台以风险运营为核心思想，结合资产、漏洞和威胁进行风险量化与风险排序，并在不中断业务运行的前提下完成威胁阻断和漏洞修复，从而实现实时的风险消除。

• 资产风险规则

赛博昆仑的资产风险检测模块能够检测系统中存在漏洞的Outlook版本并提示对应风险：

• 热补丁规则

赛博昆仑的全平台热补丁引擎已经第一时间支持该漏洞的检测防护，使用赛博昆仑-洞见产品进行防护，无需安装官方补丁即可直接拦截该漏洞。该热补丁在Outlook运行时，对outlook程序试图访问存在问题的Reminder文件路径时进行了检测，当文件路径指向危险的外部UNC路径时，能够对该攻击行为进行阻断并报告：

目前，官方已发布针对此漏洞的检测脚本，可检查Exchange邮件/日历/任务中的属性是否填充了UNC字段，并且可利用此脚本清理恶意项目的属性或者删除该恶意项目。

使用详情如下：

目前，官方已发布修复建议，建议受影响的用户尽快升级至安全版本。

下载地址：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

赛博昆仑支持对用户提供轻量级的检测规则或热补方式，可提供定制化服务适配多种产品及规则，帮助用户进行漏洞检测和修复。 

联系邮箱：[email protected]

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

• 2023年3月15日，微软官网发布补丁

• 2023年3月15日，赛博昆仑-洞见产品支持CVE-2023-23397漏洞检测和热补丁防护

• 2023年3月15日，赛博昆仑CERT向订阅客户发送漏洞风险通告邮件

• 2023年3月16日，赛博昆仑CERT公众号发布漏洞风险通告