CVE-2023-23397

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-03-14

Официальное описание

Microsoft Office Outlook contains a privilege escalation vulnerability that allows for a NTLM Relay attack against another service to authenticate as the user.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-23397 — это критическая уязвимость повышения привилегий (EoP) в Microsoft Outlook. Она позволяет злоумышленнику отправить специально сформированное электронное письмо, содержащее расширенное свойство MAPI с UNC-путем к подконтрольному SMB-ресурсу.

Особенность атаки заключается в том, что она срабатывает автоматически при получении и обработке письма клиентом Outlook (даже в окне предварительного просмотра), не требуя взаимодействия с пользователем. При попытке подключения к удаленному серверу по протоколу SMB происходит утечка NTLM-хеша пользователя, который затем может быть использован для атаки типа NTLM Relay или офлайн-перебора пароля.

Как исправить

Основным методом устранения является установка обновлений безопасности от Microsoft.

  1. Определите версию установленного Microsoft Office.
  2. Скачайте и установите соответствующий патч через Центр обновления Windows (Windows Update) или из каталога Microsoft Update.

Для автоматизации проверки наличия уязвимых писем в почтовых ящиках Exchange используйте официальный скрипт от Microsoft:

Get-ChildItem -Path .\CVE-2023-23397.ps1

Запуск сканирования всех почтовых ящиков (требуются права ApplicationImpersonation):

.\CVE-2023-23397.ps1 -Environment OnPrem -ScanningAction Search

Временные меры

Если немедленная установка патчей невозможна, необходимо применить следующие компенсирующие меры:

  1. Добавьте пользователей в группу «Защищенные пользователи» (Protected Users) в Active Directory. Это ограничит использование NTLM для этих учетных записей.

  2. Заблокируйте исходящий трафик по порту TCP 445 (SMB) на периметре сети для предотвращения утечки хешей за пределы корпоративного контура:

New-NetFirewallRule -DisplayName "Block Outbound SMB" -Direction Outbound -LocalPort 445 -Protocol TCP -Action Block
  1. Отключите использование службы WebClient на рабочих станциях, чтобы предотвратить попытки подключения через WebDAV:
Stop-Service WebClient
Set-Service WebClient -StartupType Disabled
  1. Настройте групповые политики (GPO) для ограничения NTLM в вашей среде (Network security: Restrict NTLM).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей