Уязвимость повышения привилегий в Microsoft Office Outlook (CVE-2023-23397)

vulnerability vulnerability
Опубликовано

Компания Microsoft обнаружила уязвимость в Outlook для Windows, которая используется для кражи учетных данных NTLM.

Microsoft присвоила этой уязвимости код CVE-2023-23397. Компания присвоила ей необычно высокий балл CVSS - 9,8, причем CVSS - это оценочный балл для определения уровня серьезности.

Подробности об уязвимости

В Outlook есть функция "Напоминание", которая предупреждает пользователей о расписаниях в их календаре.

Свойство PidLidReminderFileParameter в MAPI используется для указания пути к звуковому файлу (UAC), который воспроизводится клиентом при выдаче предупреждения о напоминании о прошедшем периоде расписания.

Кроме того, свойство PidLidReminderOverride определяет, является ли вышеуказанное значение PidLidReminderFileParameter достоверным или нет.

Если агент угрозы использует значение параметра PidLidReminderFileParameter в электронном письме для отправки сообщения со значением PidLidReminderOverride, установленным как true, на контролируемый SMB-сервер, то получатель станет уязвимым без какого-либо взаимодействия.

Когда пользователь получает злонамеренно созданное электронное письмо, он вынужден пройти аутентификацию на SMB-сервере, который контролируется субъектом угрозы и на котором также находится звуковой файл. В итоге хэш NTLM может быть украден через запрос на согласование NTLM.

Indicators of Compromise

SHA256

  • 03a81e52235b2b5ffb182f437941e3605218c52fd14b55c208b07065d770a8ef
  • 078b5023cae7bd784a84ec4ee8df305ee7825025265bf2ddc1f5238c3e432f5f
  • 07dd965b6f78dd3cf52542a9386f3421ec6b56c1eb5a8f139a7a67133390f595
  • 0cdf5501352ba4de05b35e5dd394b3d1529b36a658952389c959c44cf8872882
  • 0db4e30fb89fa2a97af589d1db4e6e049f121424281f1550db1acca48a8ee479
  • 0eca265b0c7352353bd56837fdc2c2b6222f7cc2656c395dc28431c4b38576f9
  • 1e7767eaaa659a1ef8b8e00c0fbb94d0629016c6a92fa5ab1191b91ec83d19c8
  • 24d3449a950b72a1cb6a4aa7d0f05a77f990de99ffebaef2da8bea30a7437bc6
  • 2986a00ce732edcd607f34f1c0fd37c3dfd4a249554d49c98fbc8a76368bcd09
  • 3f5db4a2387646ac3ec64b8476579f389f74c30ff483cfe51fb4ff1cc9cb4dda
  • 47fee24586cd2858cfff2dd7a4e76dc95eb44c8506791ccc2d59c837786eafe3
  • 562e40daf01ca6a8f397fed437abbd21bd33ffb8eedda2db3f2d6768b58b0444
  • 582442ee950d546744f2fa078adb005853a453e9c7f48c6c770e6322a888c2cf
  • 626a1ac262c3f094f1bcf54de5af7c5b9693f9bf7af39d0af4928438af58a534
  • 6c0087a5cbccb3c776a471774d1df10fe46b0f0eb11db6a32774eb716e1b7909
  • 770d642cd74678ec3880c6d88d1144bf009f9265bfe464cadc8034c0f6eaed67
  • 7a029dcbf7c69edc3d234596f669b20b1fd45b20f310668314117403187d9ebb
  • 7d94c1946abe60549dd724309257095f96d4a41784e22e7fdd2821048e666151
  • 7fb7a2394e03cc4a9186237428a87b16f6bf1b66f2724aea1ec6a56904e5bfad
  • 8ccc1c2bc251b7ebbe8ad001e9e9093bc29ebe8652c43b2f3cfc74bb53b10554
  • a034427fd8524fd62380c881c30b9ab483535974ddd567556692cffc206809d1
  • b33a0eb265d4679a429e9551b76e3ffbd5c4dca39ec50a6af1cda7c49fd14771
  • cb8d3cce6f2722947ffa6cf195e5b93de39bfd79682f28377bd71a5b996b955b
  • d440ae7072df94458a9da84ea3f91b03df4693f328066a80d18fead2c3125a16
  • d4ef1b6b08a175a5401ff7e9c1837c78d327a056f480ae8b3553ef88d4965d47
  • d544d82998bf9955610fe2b2163913c4ea4e6b51ef44e38fbe3f22d835ce58e5
  • eedae202980c05697a21a5c995d43e1905c4b25f8ca2fff0c34036bc4fd321fa
  • f46301802feb133b3a036cd020c982bdce7edc63dc6718e42e2756265dee01a7
Похожие записи:
  1. Formbook Stealer IOCs - Part 10
  2. RedLine Stealer IOCs - Part 14
  3. Amadey Bot IOCs - Part 3
  4. BeamWinHTTP Malware IOCs - Part 6
  5. Lazarus APT IOCs - Part 5
ASEC CVE-2023-23397
Добавить комментарий