CVE-2023-23397 adalah elevation of privilege (EoP) vulnerability di Microsoft Outlook adalah eksploitasi tanpa sentuhan, yang berarti celah keamanan memerlukan kompleksitas rendah untuk disalahgunakan dan tidak memerlukan interaksi pengguna.
CVE-2023-23397 dirilis sebagai bagian dari rangkaian perbaikan March Patch Tuesday. Kerentanan bypass elevasi atau autentikasi hak istimewa yang penting di Outlook, yang mempengaruhi semua versi Windows Outlook, diberi peringkat 9,8 CVSS yang merupakan salah satu dari dua eksploitasi zero-day yang diungkapkan pada tanggal 14 Maret.
Berikut rangkuman poin-poin yang perlu diketahui oleh tim keamanan tentang kerentanan ini dan bagaimana mereka dapat memitigasinya. risiko kesenjangan ini.
Bagaimana CVE-2023-23397 dieksploitasi?
- Penyerang mengirimkan pesan kepada korban dengan Message Application Program Interface (MAPI). MAPI adalah extensi HTTP yang memungkinkan klien mengakses pesan pribadi dan data direktori di server dengan mengirimkan permintaan HTTP dan menerima respons yang dikembalikan pada koneksi HTTP yang sama, yang diperluas dengan jalur Universal Naming Convention (UNC) ke Server Message Block (SMB, via TCP 445), melalui TCP 445) yang dikendalikan penyerang jarak jauh.
- Dihosting bersama di server yang dikendalikan oleh penyerang, kerentanannya dieksploitasi baik penerima telah melihat pesan tersebut atau tidak.
- Penyerang mengirimkan undangan kalender berbahaya dari jarak jauh yang diwakili oleh .msg.
- Format pesan yang mendukung reminders di Outlook
- Untuk memicu titik akhir API PlayReminderSound yang rentan menggunakan “PidLidReminderFileParameter” (opsi suara peringatan khusus untuk pengingat).
- Ketika korban terhubung ke server SMB penyerang, koneksi ke server jarak jauh mengirimkan pesan negosiasi New Technology LAN Manager (NTLM) pengguna secara otomatis, yang dapat digunakan penyerang untuk otentikasi terhadap sistem lain yang mendukung otentikasi NTLM.
Hash NTLMv2 adalah protokol terbaru yang digunakan Windows untuk autentikasi, dan digunakan untuk sejumlah layanan dengan setiap respons berisi representasi hash dari informasi pengguna, seperti nama pengguna dan kata sandi.
Dengan demikian, pelaku ancaman dapat mencoba serangan NTLM relay attack untuk mendapatkan akses ke layanan lain, atau melakukan kompromi penuh terhadap domain jika pengguna yang disusupi adalah admin.
Meskipun layanan online seperti Microsoft 365 tidak rentan terhadap serangan ini karena tidak mendukung autentikasi NTLM, aplikasi Microsoft 365 Windows Outlook masih rentan.
Seberapa mudah untuk dieksploitasi?
- Interaksi pengguna tidak diperlukan untuk memicunya (bahkan sebelum pratinjau pesan), juga tidak memerlukan hak istimewa yang tinggi.
- CVE-2023-23397 adalah kerentanan zero-touch yang dipicu ketika klien korban diminta dan diberi tahu (misalnya, ketika ada janji atau tugas yang diminta lima menit sebelum waktu yang ditentukan).
- Sulit untuk memblokir outbound SMB traffic untuk pengguna remote. Penyerang dapat menggunakan kredensial yang sama untuk mendapatkan akses ke sumber daya lain.
Versi dan sistem operasi (OS) apa yang terpengaruh?
Laporan mengenai serangan terbatas yang memanfaatkan kesenjangan ini. Microsoft telah berkoordinasi dengan para korban yang terkena dampak untuk mengatasi masalah ini.
Semua versi Microsoft Outlook untuk Windows yang didukung terpengaruh. Versi Microsoft Outlook lainnya, seperti Android, iOS, Mac, serta Outlook di web dan layanan M365 lainnya, tidak terpengaruh.
Sumber:
