Outlook 許可權提升漏洞（CVE-2023-23397）在野攻擊樣本分析

概述

2023年3月14日，烏克蘭計算機應急響應小組（CERT-UA）向微軟上報的Outlook提權漏洞CVE-2023-23397相關資訊被公佈^[1,2]，據稱該漏洞被APT28組織在2022年4月中旬和12月的攻擊活動中使用。

奇安信威脅情報中心紅雨滴團隊對相關事件進行跟進，發現了一批利用CVE-2023-23397漏洞的攻擊樣本。在分析了這些樣本和C2伺服器後，我們認為該漏洞的在野利用至少從2022年3月開始，攻擊者後期以Ubiquiti-EdgeRouter路由器作為C2伺服器，且攻擊活動的受害者涉及多個國家。

漏洞簡述

該漏洞主要源自郵件中附加約會事件所添加的兩個特殊屬性，當Outlook解析帶有以上屬性的郵件時，會去訪問其中設置的UNC路徑進行認證校驗，從而導致機器NTLM hash洩露。這裡直接使用漏洞分析文章^[3]中給出的PoC程式碼。

郵件觸發後可以看到responder已經獲取到了對應的NTLM hash。

詳細分析

利用CVE-2023-23397的惡意郵件自2022年就在VT上出現，以下按照我們發現這些樣本的順序進行說明。

序號	MD5	VT上傳時間
1	2bb4c6b32d077c0f80cda1006da90365	2022-12-29 13:00:43 UTC
2	9f4172d554bb9056c8ba28e32c606b1e	2022-04-01 06:21:07 UTC
3	3d4362e8fe86d2f33acb3e15f1dad341	2022-04-14 11:49:27 UTC
4	e6efaabb01e028ef61876dd129e66bac	2023-03-23 09:03:23 UTC

針對土耳其國防科技公司的樣本

樣本1（2bb4c6b32d077c0f80cda1006da90365）於2022年12月29日從土耳其上傳VT。樣本中附帶的UNC連結為\\113.160.234[.]229\istanbul」。郵件就是一個約會，其中的正文也是伊斯坦布爾。

回連的UNC IP位於越南。

如下圖所示可以看到這個IP在2022年4月的時候對應設備是一個路由器。

2023年1月的時候仍是這個路由器，因此該設備可能是一個被攻陷的路由器。

路由器型號可能是Ubiquiti-EdgeRouter。

從郵件msg正文可知，發件IP就是對應的UNC連結的IP地址，發件日期為2022-12-29。

對應的發件郵箱註冊了一個wizzsolutions.com的VPS。

惡意郵件的收件人屬於一家名為STM的土耳其公司（https://www.stm.com.tr/tr），該公司主營軍事船舶、國防科技等相關業務。

針對烏克蘭國家移民局的樣本

隨著進一步挖掘，我們發現最早有活動的樣本（9f4172d554bb9056c8ba28e32c606b1e）在2022年4月1日從烏克蘭上傳，樣本名稱為」2022-03-18 – лист.eml」，且郵件正文的發送時間也為2022年3月18日，有理由相信這個時間是比較精確的攻擊時間。

郵件的正文如下所示，對應的UNC連結地址為」\\5.199.162[.]132\SCW」。

下圖為對應的郵件eml檔案名和郵件正文的內容。

UNC連結中的IP位於立陶宛。

可以看到Fofa在2022-04-01也對這個IP進行了掃描，其對應的證書如下。

根據該指紋擴展發現另外兩個可疑的C2，其活動時間大致也在2022年3~4月之間。

IP	域名
77.243.181.10:443	globalnewsnew.com
45.138.87.250:443	ceriossl.info

從eml檔案正文可以看到，對應的發件IP就是5.199.162.132，惡意郵件收件郵箱是palamarchuk@dmsu.gov.ua，郵件發送日期為2022-03-18。

該郵箱是烏克蘭國家移民局的郵箱，攻擊對象大概率是烏克蘭國家移民局的人員。

針對羅馬尼亞外交部的樣本

同樣2022年4月還有一封郵件樣本（3d4362e8fe86d2f33acb3e15f1dad341）上傳VT，上傳地為德國。該郵件對應的UNC連結為「\\101.255.119[.]42\event\2431「，其本身正文內容沒有什麼特別的。

對應的UNC IP在印度尼西亞雅加達。

有意思的是該IP對應設備依然是一個路由器，且型號和前面的樣本一致，都是Ubiquiti-EdgeRouter。

同樣從郵件頭可知，發件IP依然是UNC連結的地址。

這裡的受害者郵箱疑似屬於羅馬尼亞外交部，該資訊主要來自於國際水文測量組織(IHO)的」水文學家–海洋劃界專家名單」。

針對波蘭軍火商的樣本

此外還有研究人員發佈了一個2022年9月的攻擊樣本（e6efaabb01e028ef61876dd129e66bac）。

UNC連結中的IP位於伊拉克。

同樣該IP下也是Ubiquiti-EdgeRouter型號的路由器。

其對應的郵件正文中，發件IP同樣是UNC連結中的IP。

攻擊目標是一家波蘭軍火商（PIT-RADWAR SA）。

而發件郵箱則屬於一家印度銀行（COASTAL BANK），猜測印度可能也已經被攻擊了。

可以看到該銀行使用的是webmail郵箱。

漏洞攻擊資訊彙總

這裡結合微軟發佈的通告^[4]及奇安信威脅情報中心的擴展，對目前關於CVE-2023-23397漏洞攻擊資訊的彙總如下。

攻擊IP	IP屬地	設備資訊	相關時間	受害者
5.199.162[.]13:443 sourcescdn.net	立陶宛	VPS	發件時間 2022-03-18 樣本上傳時間 2022-04-01	烏克蘭國家移民局
77.243.181[.]10:443 globalnewsnew.com	德國	VPS	2022-04-01之前
45.138.87[.]250:443 ceriossl.info	羅馬尼亞	VPS	2022-04-01之前
101.255.119[.]42	印度尼西亞	Ubiquiti-EdgeRouter	發件時間 2022-04-14 樣本上傳時間 2022-04-14	羅馬尼亞外交部
213.32.252[.]221	伊拉克	Ubiquiti-EdgeRouter	發件時間 2022-09-29 樣本上傳時間 2022-09-29	波蘭軍火商PIT-RADWAR SA 發件郵箱為印度銀行Coastal Bank
168.205.200[.]55	巴西	Ubiquiti-EdgeRouter
185.132.17[.]160	瑞士	Ubiquiti-EdgeRouter
69.162.253[.]21	美國	Ubiquiti-EdgeRouter
113.160.234[.]229	越南	Ubiquiti-EdgeRouter	發件時間 2022-12-29 樣本上傳時間 2022-12-29	土耳其國防科技公司STM
181.209.99[.]204	阿根廷	Ubiquiti-EdgeRouter
82.196.113[.]102	瑞典	Ubiquiti-EdgeRouter
85.195.206[.]7	瑞士	Ubiquiti-EdgeRouter
61.14.68[.]33	新加坡	Ubiquiti-EdgeRouter

可以看到攻擊的最早時間大致是在2022年3~4月，早期用於惡意郵件發送的都是VPS，漏洞觸發後回連的UNC地址也是同一臺VPS。在2022年4月14日之後，所有的攻擊C2都替換成了Ubiquiti-EdgeRouter路由器。

這裡我們搜尋了一下，發現該路由器比較重要的漏洞為2021年8月ZDI對外披露的CVE-2021-22909，攻擊者可以通過MITM中間人攻擊下發惡意韌體，從而實現程式碼執行。

但是在Outlook提權漏洞的系列攻擊中，攻擊者是否使用該路由器漏洞還不得而知。

總結

在CVE-2023-23397漏洞的系列攻擊中，攻擊者使用的C2伺服器包括了多個地區被攻陷的路由器設備，實際攻擊目標覆蓋烏克蘭、羅馬尼亞、波蘭、土耳其等。從受害者所屬地域上看，國外安全研究員關於攻擊者疑似為APT28的推論有一些道理，但是在有更多的確鑿證據之前，奇安信威脅情報中心對此歸屬依然持保留態度。

我們暫未發現國內受到相關攻擊活動影響，不過奇安信紅雨滴團隊仍在此提醒廣大使用者，切勿打開社交媒體分享的來歷不明的連結，不點選執行未知來源的郵件附件，不運行誇張標題的未知檔案，不安裝非正規途徑來源的APP。做到及時備份重要檔案，更新安裝補丁。

若需運行，安裝來歷不明的應用，可先通過奇安信威脅情報檔案深度分析平臺（https://sandbox.ti.qianxin.com/sandbox/page）進行判別。目前已支持包括Windows、安卓平臺在內的多種格式檔案深度分析。

目前，基於奇安信威脅情報中心的威脅情報資料的全線產品，包括奇安信威脅情報平臺（TIP）、天擎、天眼高級威脅檢測系統、奇安信NGSOC、奇安信態勢感知等，都已經支持對此類攻擊的精確檢測。