概要
Microsoft は Windows 用 Outlook の脆弱性が NTLM 資格証明を窃取するのに悪用されていることを発見した。
Microsoft はこの脆弱性を CVE-2023-23397 として割り当て、重大度を評価する CVSS は異例の高ポイントである9.8ポイントが与えられた。
脆弱性の内容
Outlook はカレンダー内のスケジュールを知らせる「アラーム」機能がある。スケジュールの期間が過ぎた時にも以下のようなアラームが発生する。

[図1] Outlook のアラーム機能
この時、MAPI の PidLidReminderFileParameter プロパティは、スケジュールの期間が過ぎて遅延アラームを送信する際、クライアントが再生するサウンドのファイルパス(UNC)を指定するのに使用される。
また、PidLidReminderOverride プロパティは上記の PidLidReminderFileParameter 値を信頼するかを設定するプロパティである。
メール(msg)内の PidLidReminderFileParameter 値は、攻撃者が制御できる SMB サーバーで、PidLidReminderOverride 値は true で構成されて送信されると、受信した相手はなんの相互関係もなく脆弱性にさらされる。

[図2] 不正な msg を作成する PoC コードの一部
もしユーザーが上記のように悪意を持って作成されたメールを受信する場合、再生されるサウンドのファイルが存在し、攻撃者が制御する SMB サーバーで認証するように強制される。結局、NTLM 協商依頼を通して NTLM ハッシュを奪うことができる。
脆弱性の影響
MS 3月の定期セキュリティアップデート 以前のすべての Windows 用 Microsoft Outlook.
※ Android、iOS、Mac のような他のバージョンの Microsoft Outlook と Web 用 Outlook、およびその他 M365 サービスは影響を受けない
脆弱性の緩和
- 保護されたユーザーのセキュリティグループ(Protected Users Security Group)にユーザーを追加し、NTLM を認証メカニズムとして使用できないようにする。
※ 上記の場合、NTLM が必要なアプリケーションに影響を与える場合がある - ネットワークで TCP 445/SMB アウトバウンドを遮断する。
より詳しい緩和方式は MSRC Mitigations カテゴリを参照してほしい。
メンテナンス方法
3月15日、Microsoft は CVE-2023-23397 脆弱性を悪用するメッセージ項目(メール、スケジュールおよびタスク)が Exchange 環境内に存在するかを検査するスクリプトを公開した。
Outlook を運営する組織は、提供された CVE-2023-23397.ps1 スクリプトを通して、脆弱性を悪用した攻撃が行われているかを確認することができる。
このスクリプトが動作するための条件は以下の通りである。
Exchange Server (on-premises)
EMS(Exchange 管理シェル)で以下の PowerShell コマンドを実行
New-ThrottlingPolicy “CVE-2023-23397-Script”
Set-ThrottlingPolicy “CVE-2023-23397-Script” -EWSMaxConcurrency Unlimited -EWSMaxSubscriptions Unlimited -CPAMaxConcurrency Unlimited -EwsCutoffBalance Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited
Set-Mailbox -Identity “<UserWhoRunsTheScript>” -ThrottlingPolicy “CVE-2023-23397-Script”
Exchange Online
全域管理者もしくは応用プログラム管理者権限で実行
使用方法
スクリプトは2つのメンテナンス方法をサポートしている。
Audit Mode : スクリプトは、属性が埋められた項目の詳細情報が含まれた CSV ファイルを提供
Exchange Server (on-premises)
Get-Mailbox -ResultSize Unlimited | .\CVE-2023-23397.ps1 -Environment Onprem
Exchange Online
Get-Mailbox -ResultSize Unlimited | .\CVE-2023-23397.ps1 -Environment “Online”
Cleanup Mode : スクリプトは属性を消しているか、項目を削除して検知された項目についての整理を実行
Exchange Server (on-premises)
.\CVE-2023-23397.ps1 -Environment Onprem -CleanupAction ClearProperty -CleanupInfoFilePath <Path to modified CSV>
Exchange Online
.\CVE-2023-23397.ps1 -CleanupAction ClearProperty -CleanupInfoFilePath <Path to modified CSV>
より詳しいメンテナンス方法は CSS Exchange HP を参照してほしい。
[ファイル検知]
Trojan/Msg.Agent (2023.03.17.00)
Exploit/BIN.Agent (2023.03.18.01)
Exploit/MSG.CVE-2023-23397 (2023.03.19.01)
Exploit/BIN.CVE-2023-23397 (2023.03.19.01 )
[IOC]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関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:対応ガイド
[…] Microsoft Office Outlook 権限昇格脆弱性への注意(CVE-2023-23397) […]