개요
Microsoft는 Windows용 Outlook의 취약점이 NTLM 자격 증명을 탈취하는 데 악용되고 있음을 발견하였다.
Microsoft는 해당 취약점을 CVE-2023-23397로 할당하고, 심각도를 평가하는 CVSS 점수는 이례적으로 높은 점수인 9.8점을 부여하였다.
취약점 내용
Outlook은 캘린더 내 약속을 알리는 ‘미리 알림’ 기능이 있다. 약속 기한이 지났을 때도 아래와 같은 알림이 발생한다.

[그림 1] Outlook 미리 알림 기능
이때 MAPI의 PidLidReminderFileParameter 프로퍼티는 약속 기한이 지나, 지연 알림을 할 때 클라이언트가 재생할 사운드의 파일 경로(UNC)를 지정하는 데 사용된다.
또한 PidLidReminderOverride 프로퍼티는 위 PidLidReminderFileParameter 값을 신뢰할 것인지 설정하는 프로퍼티다.
메일(msg) 내 PidLidReminderFileParameter 값은 공격자가 제어 가능한 SMB 서버로, PidLidReminderOverride 값은 true로 구성하여 전송하면, 수신 받은 상대는 아무런 상호작용 없이 취약점에 노출된다.

[그림 2] 악성 msg를 만드는 PoC 코드 일부
만약 사용자가 위처럼 악의적으로 작성된 메일을 수신할 경우, 재생할 사운드의 파일이 위치하며 공격자가 제어하는 SMB 서버에 인증하도록 강제된다. 결국 NTLM 협상 요청을 통해 NTLM 해시를 훔칠 수 있게 된다.
취약점 영향
MS 3월 정기 보안 업데이트 이전의 모든 Windows용 Microsoft Outlook.
※ Android, iOS, Mac과 같은 다른 버전의 Microsoft Outlook과 웹용 Outlook 및 기타 M365 서비스는 영향을 받지 않음
취약점 완화
- 보호된 사용자 보안 그룹(Protected Users Security Group)에 유저를 추가하여 NTLM을 인증 메커니즘으로 사용하지 못하도록 한다.
※ 위 경우 NTLM이 필요한 애플리케이션에 영향을 미칠 수 있음 - 네트워크에서 TCP 445/SMB 아웃바운드를 차단한다.
보다 자세한 완화 방식은 MSRC Mitigations 카테고리를 참고한다.
점검 방법
3월 15일 Microsoft는 CVE-2023-23397 취약점을 악용하는 메시징 항목(메일, 일정 및 작업)이 Exchange 환경 내에 존재하는지 검사하는 스크립트를 공개하였다.
Outlook을 운영하는 조직은 제공된 CVE-2023-23397.ps1 스크립트를 통해 취약점을 악용한 공격이 이루어졌는지 확인할 수 있다.
해당 스크립트가 작동하기 위한 조건은 아래와 같다.
Exchange Server (on-premises)
EMS(Exchange 관리 셸)에서 아래 PowerShell 명령을 실행
New-ThrottlingPolicy “CVE-2023-23397-Script”
Set-ThrottlingPolicy “CVE-2023-23397-Script” -EWSMaxConcurrency Unlimited -EWSMaxSubscriptions Unlimited -CPAMaxConcurrency Unlimited -EwsCutoffBalance Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited
Set-Mailbox -Identity “<UserWhoRunsTheScript>” -ThrottlingPolicy “CVE-2023-23397-Script”
Exchange Online
전역 관리자 또는 응용 프로그램 관리자 권한으로 실행
사용 방법
스크립트는 두 개의 점검 방법을 지원한다.
Audit Mode : 스크립트는 속성이 채워진 항목의 세부 정보가 포함된 CSV 파일을 제공
Exchange Server (on-premises)
Get-Mailbox -ResultSize Unlimited | .\CVE-2023-23397.ps1 -Environment Onprem
Exchange Online
Get-Mailbox -ResultSize Unlimited | .\CVE-2023-23397.ps1 -Environment “Online”
Cleanup Mode : 스크립트는 속성을 지우거나 항목을 삭제하여 감지된 항목에 대한 정리를 수행
Exchange Server (on-premises)
.\CVE-2023-23397.ps1 -Environment Onprem -CleanupAction ClearProperty -CleanupInfoFilePath <Path to modified CSV>
Exchange Online
.\CVE-2023-23397.ps1 -CleanupAction ClearProperty -CleanupInfoFilePath <Path to modified CSV>
보다 자세한 점검 방법은 CSS Exchange 홈페이지를 참고한다.
[파일 진단]
Trojan/Msg.Agent (2023.03.17.00)
Exploit/BIN.Agent (2023.03.18.01)
Exploit/MSG.CVE-2023-23397 (2023.03.19.01)
Exploit/BIN.CVE-2023-23397 (2023.03.19.01 )
[IOC]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연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:조치 가이드