Microsoft Outlook Zero Day
รายละเอียดของ CVE-2023-23397
1. Attack จะทำการส่ง email message ไปหาเหยื่อด้วย email ที่มีลักษณะพิเศษ คือมี extended Message Application Program Interface (MAPI) โดยมี Path ของ Universal Naming Convention (UNC) ประกอบอยู่ใน email และสำหรับ UNC ที่กล่าวถึงคือการตั้ง UNC path ไปยัง smb server ของ attack เช่น \\<ชื่อเครื่อง>\<ชื่อโฟลเดอร์> เป็นต้น
2. เมื่อเหยื่อได้รับ email จาก attacker ระบบอ่านค่า Universal Naming Convention (UNC) และจะทำการเปลี่ยนเส้นทางการเชื่อมต่อ Server Message Block (SMB) (TCP 445) ไปยัง Server ของ attacker ทันที
3. เมื่อมีการเชื่อมต่อไปยัง Server Message Block (SMB) (TCP 445) ของ attacker ระบบ New Technology LAN Manager (NTLM) บนเครื่องของเหยื่อจะมีการส่ง message ไปหา SMB server ของ attacker แบบอัตโนมัติ
4. ทำให้ attacker ได้รับ NTLM hash ทันที ซึ่งการได้มาซึ่ง NTLM Hash ทำให้ attacker จะสามารถนำ hash ดังกล่าวไปทำการ authentication เข้าใช้งานระบบที่รองรับ NTLM authentication ทันที เปรียบเสมือน Single Sign-On (SSO) นั้นเอง และจุดนี้จะทำให้ attacker นำไปใช้ประโยชน์อื่นๆ ได้ในลำดับต่อไป
อย่างไรก็ตาม CVE-2023-23397 ระบบที่กระทบกับผู้ที่ใช้งาน Microsoft Outlook บน Windows เท่านั้น สำหรับ Outlook for Android, iOS, or macOS หรือ online services เช่น Microsoft 365 ที่ทำงานผ่าน Web Browser นั้นไม่มีผลกระทบแต่อย่างใด
คำแนะนำ
Microsoft แนะนำให้ทำการ update patch ประจำวันที่ 14 มีนาคม 2023 อย่างด่วนที่สุด
คำแนะนำการแก้ไขเบื้องต้น (Workaround)
Microsoft แนะนำให้เพิ่ม users เข้าสู่ Protected Users group บน Active Directory และทำการ blocking outbound SMB traffic ที่ TCP port 445
