CVE-2023-23397 (2023/05/11 traP x KLab LT大会 )

traP×KLab LT大会 2023/05/11

自己紹介 seigo2016 • 22B 情報理工学院 数理計算科学系 2年 • Python / TypeScript / Go • Raspberry Pi • WSL2 / Docker / Nginx / Debian • T.M.Revolution / Reol /中森明菜 / ボカロ • VTuber … ニコニコ超会議(VTuber Fes) • PlanetSide2 / Apex

私事ですが、本日… 20歳の誕生日です！ • 広島で生まれ育って10年 • 東京に来て10年

去年は

今年は何の話をしようか…? そうだ。脆弱性の話をしよう。

CVE-2023-23397の話 概要 • CVE-2023-23397 • Microsoft Outlook Elevation of Privilege Vulnerability • 特権昇格/認証バイパスの脆弱性 • CVSSv3 Score: 9.8

Q&A 特権昇格の脆弱性とは？ • ユーザーの権限を不正に昇格させ、システムの管理者権限を取得 CVSSv3 Score とは？ • セキュリティ脆弱性の深刻さを評価するもの • 今回は9.8なので深刻度が非常に高い 緊急 9.0-10.0 重要 7.0-8.9 警告 4.0-6.9 注意 0.1-3.9 なし 0

CVE-2023-23397の概要 悪意のある電子メールを受信するだけで、認証ハッシュが攻撃者に漏洩する このハッシュを別サービスに利用することで、受信ユーザーになりすまして認 : あるもりすぶろぐ 証を受けることが可能になる 出典 https://armoris.hatenablog.com/entry/2023/04/21/193610 • Microsoft Outlookの脆弱性 • 脆弱性の深刻度が非常に高い • 既にゼロデイ攻撃が多数確認されている • アカウントと認証情報の窃取できる • マルウェアなどのペイロードを送信できる • ユーザの操作を必要としない「ゼロタッチ」の脆弱性 → 悪用が容易

• https://armoris.hatenablog.com/entry/2023/04/21/193610

CVE-2023-23397による被害 • 2022/4-12までの間に、政府・軍事・エネルギー・輸送機関などの ネットワークを標的とした15件ほどの攻撃で悪用された • APT28などのロシアを拠点とするグループが攻撃に使用 • ウクライナのCERT-UAが報告 出典 : deep instinct 2023/03/17 https://www.deepinstinct.com/ja/blog/cve-2023-23397-exploitations-in-the-wild-what-you-need-to-know

• https://www.deepinstinct.com/ja/blog/cve-2023-23397-exploitations-in-the-wild-what-you-need-to-know

CVE-2023-23397の概要

ハッシュ化されてるから安全？？？？ MSにハッシュ化されているので安全、のような思想があるっぽい 安全ではないケース • ハッシュそのままで認証 • Pass-The-Hash (mimikatz) • 可能だがちょっと面倒 • ハッシュをクラックして認証 • ブルートフォースアタック/辞書型攻撃 (hashcat) • 8桁ぐらいならブルートフォースアタックで全然いけるかも

対策 • MSの配布しているスクリプトで既に被害を受けているかの確認 • 2023年3月の修正パッチの適用 • 外向きのTCP445/SMBをブロック • NTLMv2の無効化

まとめ? • アップデートはしよう • 興味があれば、あるもりすぶろぐ読んで！ https://armoris.hatenablog.com/

• https://armoris.hatenablog.com/