Akamai研究人員在Windows中新發現兩個漏洞,分別是CVE-2023-35384與CVE-2023-36710,攻擊者可以連結這兩個漏洞,針對Outlook用戶展開零點擊遠端程式碼執行(Remote Code Execution,RCE)攻擊。目前微軟已經在2023年8月和10月發布修補程式碼,用戶只要安裝10月軟體更新,即可免受漏洞影響。

Akamai揭露的零點擊遠端程式碼執行攻擊,起源於今年3月的微軟更新,當時微軟針對CVE-2023-23397漏洞進行修補。該漏洞主要被俄羅斯國家資助的駭客集團Forest Blizzard濫用,透過誘導Outlook客戶端連接到攻擊者的伺服器,並在連接過程傳送NTLM憑證給攻擊者。之後攻擊者便可以離線破解憑證,或是將憑證用於中繼攻擊。

這個漏洞的特色在於,攻擊者無需用戶參與,就能透過網際網路遠端發動攻擊。要濫用CVE-2023-23397漏洞,攻擊者會先發送一封精心設計,帶有自動通知聲音的提醒電子郵件,Outlook客戶端在收到信件之後,便會從攻擊者控制的伺服器下載特殊的音訊檔案。雖然微軟在3月的更新中修補了該漏洞,但是Akamai研究人員卻又發現了能夠繞過修補程式的方法,並且指出該Outlook功能引入了巨大且複雜的攻擊面。

透過結合新發現的CVE-2023-35384與CVE-2023-36710,研究人員成功在Outlook上實現出完整的遠端程式碼執行攻擊鏈。CVE-2023-35384在這個攻擊鏈扮演關鍵角色,其牽涉Outlook中CreateFile和MapUrlToZone兩個函式在路徑解析的差異,研究人員利用這兩個函式對特定路徑的處理差異繞過安全檢查,迫使Outlook客戶端連接到惡意伺服器,而且這個方法也成功繞過微軟之前的修補。

而CVE-2023-36710則是一個存在於音訊壓縮管理器(ACM)程式碼中的整數溢位漏洞。當播放WAV檔案的時候,ACM便會呼叫msacm32.drv中的mapWavePrepareHeader函式,而這個函式存在一個整數溢位漏洞,由於在向GlobalAlloc傳遞加法結果時並沒有先檢查溢位,這使得攻擊者可以透過特定方式讓GlobalAlloc分配一個非常小的緩衝區,並使這個緩衝區溢位,進而可執行任意程式碼。

透過利用CVE-2023-35384建立的連接,攻擊者能夠傳送特製的WAV檔案到受害者的系統中,接著利用CVE-2023-36710中的漏洞來執行任意程式碼,這兩個漏洞共同構成了一個完整的攻擊鏈,允許攻擊者遠端控制受影響的系統。

Windows用戶只要安裝2023年10月的軟體更新即可受保護,而使用Exchange伺服器的Outlook客戶端,則在安裝2023年3月的軟體更新後,可免受漏洞影響。儘管這些漏洞都已經修復了,但研究人員指出,由於Outlook的攻擊面仍然存在,攻擊者還是可以繼續從該攻擊面中找到新漏洞。

熱門新聞

Advertisement