14 марта 2023 года компания Microsoft опубликовала в своем блоге сообщение, описывающее CVE-2023-23397 - уязвимость повышения привилегий клиента Outlook.
С технической точки зрения уязвимость представляет собой критическую EoP, которая срабатывает, когда злоумышленник отправляет объект Outlook (задачу, сообщение или событие календаря) в расширенном свойстве MAPI, содержащем UNC-путь к SMB-ресурсу на сервере, контролируемом угрозой, что приводит к утечке хэша Net-NTLMv2. Взаимодействие с пользователем при этом не требуется. Утечка NTLM происходит в момент отображения окна напоминания, а не только в момент получения сообщения. Однако уже истекшее напоминание будет запущено сразу после получения объекта.
Доказательства использования этих уязвимостей неизвестным злоумышленником были обнародованы путем отправки образцов на VirusTotal. Некоторые образцы, отправленные в VirusTotal в прошлом, впоследствии были признаны использующими CVE-2023-23397; другие были опубликованы после публичного раскрытия уязвимости.
Indicators of Compromise
IPv4
- 101.255.119.42
- 113.160.234.229
- 168.205.200.55
- 181.209.99.204
- 185.132.17.160
- 213.32.252.221
- 24.142.165.2
- 42.98.5.225
- 5.199.162.132
- 61.14.68.33
- 69.162.253.21
- 69.51.2.106
- 82.196.113.102
- 85.195.206.7
SHA256
- 92df1d2125f88d0642e0d4919644376c09e1f1e0eaf48c31a6b389265e0d5576