Microsoft 上周晚些时候分享了一个新的 MS Office 零日漏洞 (CVE-2024-38200),攻击者可以利用该漏洞来获取用户的 NTLM 哈希值。
该漏洞可远程利用,无需特殊权限或用户交互即可触发。
该公司表示:“在基于Web的攻击场景中,攻击者可以托管一个网站(或利用一个接受或托管用户提供的内容的受感染网站),其中包含一个旨在利用该漏洞的特制文件。
“但是,攻击者无法强迫用户访问该网站。相反,攻击者必须诱使用户单击链接,通常是通过电子邮件或即时通讯消息中的诱饵,然后诱使用户打开特别构建的文件。
关于CVE-2024-38200
CVE-2024-38200 由 PrivSec Consulting 的网络安全研究人员 Jim Rush 和 Synack Red Team 的 Metin Yunus Kandemir 私下报告给 Microsoft,被归类为欺骗漏洞。
一旦攻击者获得受害者的 NTLM 哈希,他们就可以将其中继到另一个服务并作为受害者进行身份验证(即,执行身份验证中继攻击)。
尽管还没有准备好明确的修复方法,但Microsoft还是公开了该漏洞,因为Rush和同事Tomais Williamson计划在周六的DEF CON上谈论它。
修复和缓解措施
CVE-2024-38200 影响以下各项的 64 位和 32 位版本:
- Microsoft Office 2016
- Microsoft Office 2019
- Microsoft Office LTSC 2021 和
- Microsoft 365 企业应用
这些的最终修复将于明天,即 2024 年 8 月补丁星期二准备好。
但用户不容易受到利用,因为 Microsoft 已于 2024 年 7 月 30 日通过 Feature Flighting 实施了替代修复。(功能外部测试是一个过程,通过功能标志以受控方式推出特定产品功能。
“客户已经在 Microsoft Office 和 Microsoft 365 的所有受支持版本上受到保护,”Microsoft 表示,但敦促他们“仍更新到 2024 年 8 月 13 日的更新,以获取修复的最终版本”。
该公司还概述了几个缓解因素,其中包括:限制传出 NTLM 流量到远程服务器、将用户添加到受保护用户安全组以及阻止来自端口 TCP 445 的出站流量。
NTLM(如果已正式弃用)
NT LAN Manager (NTLM) 是 Microsoft 提供的一套用于用户身份验证的旧安全协议,但它已被正式弃用,取而代之的是 Kerberos。
“NTLM 的使用将在 Windows Server 的下一个版本和 Windows 的下一个年度版本中继续工作。对 NTLM 的调用应该被对 Negotiate 的调用所取代,后者将尝试使用 Kerberos 进行身份验证,并且仅在必要时回退到 NTLM,“Microsoft 解释说。
该公司定期修复允许攻击者窃取或中继 NTLM 哈希的漏洞。
发表评论
您还未登录,请先登录。
登录