微软公布 Outlook 零点击 RCE 漏洞链的利用手法

Akamai 的安全研究人员正在分享 Microsoft 今年早些时候针对 Outlook 零点击远程代码执行漏洞发布的补丁的多个绕过细节。

最初的问题被追踪为 CVE-2023-23397，在黑客利用该问题大约一年后，微软于 2023 年 3 月修复了该问题。

未经身份验证的黑客可以通过发送包含指定为路径的声音通知的电子邮件提醒来利用此问题，强制 Outlook 客户端连接到攻击者的服务器，从而导致 Net-NTLMv2 哈希发送到服务器。

利用该漏洞不需要用户交互，因为当服务器收到并处理电子邮件时，该错误会立即触发。微软通过调用 API 函数解决了这个问题，该函数将检查路径以确保它没有引用互联网 URL。

然而，通过在电子邮件中包含精心设计的 URL，被调用的函数可能会被欺骗，将远程路径视为本地路径。该绕过由 Akamai 发现并跟踪为 CVE-2023-29324，并于 5 月被 Microsoft 修复。

然而，CVE-2023-29324 缺陷只是Akamai在研究 Outlook 零点击漏洞时发现的绕过方法之一。

第二个漏洞是 CVE-2023-35384，由 Microsoft 通过2023 年 8 月的补丁解决，它是一种路径类型混淆，可以通过精心设计的 URL 来利用，但确实需要用户交互。

微软在其通报中表示：“黑客可以制作恶意文件或发送恶意 URL，从而逃避安全区域标记，从而导致浏览器和某些自定义应用程序所使用的安全功能的完整性和可用性受到有限的损失。”

10 月份，这家科技巨头修复了与 Outlook 攻击向量相关的另一个漏洞，这次的漏洞源于 Windows 上声音文件的解析。

该问题被追踪为CVE-2023-36710，是音频压缩管理器 (ACM) 中的整数溢出错误，该代码处理 WAV 文件中的编解码器需要由自定义解码器进行解码的情况。编解码器由功能类似于内核模式驱动程序的驱动程序处理，但通过 ACM 注册。

Akamai 在技术文章中指出，该安全缺陷是在 ACM 管理器的 mapWavePrepareHeader 函数中发现的。

由于该函数在将字节添加到目标缓冲区大小时不执行溢出检查，因此攻击者可以触发非常小的缓冲区的分配，从而导致两次越界写入。

“我们设法使用 IMA ADP 编解码器触发了该漏洞。文件大小约为 1.8 GB。通过对计算执行数学限制运算，我们可以得出结论，IMA ADP 编解码器的最小可能文件大小为 1 GB，”根据 Akamai 的文档。

Akamai 表示，黑客可以在 Outlook 客户端或其他即时消息应用程序的上下文中成功利用此漏洞，无需用户交互即可实现远程代码执行。

“截至目前，我们研究的Outlook中的攻击面仍然存在，并且可以发现和利用新的漏洞。尽管 Microsoft 对 Exchange 进行了修补，以删除包含 PidLidReminderFileParameter 属性的邮件，但我们不能排除绕过此缓解措施的可能性。”Akamai 总结道。

封面来源于网络，如有侵权请联系删除