기사요약 :
NTLM 크리덴셜을 탈취하는 제로데이 취약점이 발견되어 MS 아웃룩 메일을 열지 않아도 정보가 탈취될 수 있어서 빠른 업그레이드가 필요해 보인다.
- NTLM 이란? MS 운영체제를 통해 구동되는 서버와 클라이언트가 네트워크 통신을 하기 위한 보안인증방식
- 취약점 정보 : CVE-2023-23397, CVSS : 9.8점
- 공격 정보 : 메일을 열지 않아도 아웃룩 클라이언트 검색 및 처리할 때 자동으로 작동되도록 특수 조작된 이메일을 전송하여 수신자가 이메일을 보기도 전에 해시 정보 탈취가 가능.
✔ PidLidReminderFileParameter 값 : SMB 서버
** 약속 기한이 지나, 지연 알람을 할때 클라이언트가 재생할 사운드 파일 경로를 지정하는데 사용.
✔ PidLidReminderOverride 값 : true
- 이메일 수신할 경우 : 공격자가 제어하는 SMB 서버에 강제로 연결되어 피해자의 NTLM 해시가 공격자에게 유출. 공격자는 이를 활용하여 다른 서비스에 피해자인척 본인인증이 가능.
- 취약점 완화 방법
1) 보호된 사용자 보안 그룹(Protected Users Security Group)에 유저를 추가하여 NTLM을 인증 매커니즘으로 사용하지 못하도록 함.
2) 네트워크 TCP 445/SMB 아웃바운드 차단
Microsoft Office Outlook 권한 상승 취약점 주의 (CVE-2023-23397) - ASEC BLOG
개요 Microsoft는 Windows용 Outlook의 취약점이 NTLM 자격 증명을 탈취하는 데 악용되고 있음을 발견하였다. Microsoft는 해당 취약점을 CVE-2023-23397로 할당하고, 심각도를 평가하는 CVSS 점수는 이례적으로
asec.ahnlab.com
아웃룩 메일 읽지 않아도 정보 탈취된다
마이크로소프트 아웃룩 메일을 열지 않아도 정보가 탈취되는 보안 허점이 발견됐다. 마이크로소프트는 윈도용 마이크로소프트 아웃룩을 최신 버전으로 업데이트할 것을 권고했다.마이크...
zdnet.co.kr
