Outlook 权限提升漏洞（CVE-2023-23397）在野攻击样本分析

平静的湖面上

​​2023年3月14日，乌克兰计算机应急响应小组（CERT-UA）向微软上报的 Outlook 提权漏洞CVE-2023-23397 相关信息被公布[1,2]，据称该漏洞被APT28组织在2022年4月中旬和12月的攻击活动中使用。
奇安信威胁情报中心红雨滴团队对相关事件进行跟进，发现了一批利用CVE-2023-23397漏洞的攻击样本。在分析了这些样本和C2服务器后，我们认为该漏洞的在野利用至少从2022年3月开始，攻击者后期以Ubiquiti-EdgeRouter路由器作为C2服务器，且攻击活动的受害者涉及多个国家。


​一、漏洞简述

该漏洞主要源自邮件中附加约会事件所添加的两个特殊属性，当Outlook解析带有以上属性的邮件时，会去访问其中设置的UNC路径进行认证校验，从而导致机器NTLM hash泄露。这里直接使用漏洞分析文章[3]中给出的PoC代码。


邮件触发后可以看到responder已经获取到了对应的NTLM hash。


二、详细分析

利用CVE-2023-23397的恶意邮件自2022年就在VT上出现，以下按照我们发现这些样本的顺序进行说明。

序号	MD5	VT上传时间
1	2bb4c6b32d077c0f80cda1006da90365	2022-12-29 13:00:43 UTC
2	9f4172d554bb9056c8ba28e32c606b1e	2022-04-01 06:21:07 UTC
3	3d4362e8fe86d2f33acb3e15f1dad341	2022-04-14 11:49:27 UTC
4	e6efaabb01e028ef61876dd129e66bac	2023-03-23 09:03:23 UTC

针对土耳其国防科技公司的样本
样本1（2bb4c6b32d077c0f80cda1006da90365）于2022年12月29日从土耳其上传VT。样本中附带的UNC链接为\\113.160.234[.]229\istanbul”。邮件就是一个约会，其中的正文也是伊斯坦布尔。


回连的UNC IP位于越南。


如下图所示可以看到这个IP在2022年4月的时候对应设备是一个路由器。


2023年1月的时候仍是这个路由器，因此该设备可能是一个被攻陷的路由器。


路由器型号可能是Ubiquiti-EdgeRouter。


从邮件msg正文可知，发件IP就是对应的UNC链接的IP地址，发件日期为2022-12-29。


对应的发件邮箱注册了一个http://wizzsolutions.com的VPS。


恶意邮件的收件人属于一家名为STM的土耳其公司（https://www.stm.com.tr/tr），该公司主营军事船舶、国防科技等相关业务。


针对乌克兰国家移民局的样本
随着进一步挖掘，我们发现最早有活动的样本（9f4172d554bb9056c8ba28e32c606b1e）在2022年4月1日从乌克兰上传，样本名称为”2022-03-18 - лист.eml”，且邮件正文的发送时间也为2022年3月18日，有理由相信这个时间是比较精确的攻击时间。
邮件的正文如下所示，对应的UNC链接地址为”\\5.199.162[.]132\SCW”。


下图为对应的邮件eml文件名和邮件正文的内容。


UNC链接中的IP位于立陶宛。


可以看到Fofa在2022-04-01也对这个IP进行了扫描，其对应的证书如下。


根据该指纹扩展发现另外两个可疑的C2，其活动时间大致也在2022年3~4月之间。

IP	域名
77.243.181.10:443	http://globalnewsnew.com
45.138.87.250:443	http://ceriossl.info

从eml文件正文可以看到，对应的发件IP就是5.199.162.132，恶意邮件收件邮箱是palamarchuk@dmsu.gov.ua，邮件发送日期为2022-03-18。


该邮箱是乌克兰国家移民局的邮箱，攻击对象大概率是乌克兰国家移民局的人员。




针对罗马尼亚外交部的样本
同样2022年4月还有一封邮件样本（3d4362e8fe86d2f33acb3e15f1dad341）上传VT，上传地为德国。该邮件对应的UNC链接为“\\101.255.119[.]42\event\2431“，其本身正文内容没有什么特别的。


对应的UNC IP在印度尼西亚雅加达。


有意思的是该IP对应设备依然是一个路由器，且型号和前面的样本一致，都是Ubiquiti-EdgeRouter。


同样从邮件头可知，发件IP依然是UNC链接的地址。


这里的受害者邮箱疑似属于罗马尼亚外交部，该信息主要来自于国际水文测量组织(IHO)的”水文学家--海洋划界专家名单”。


针对波兰军火商的样本
此外还有研究人员发布了一个2022年9月的攻击样本（e6efaabb01e028ef61876dd129e66bac）。


UNC链接中的IP位于伊拉克。


同样该IP下也是Ubiquiti-EdgeRouter型号的路由器。


其对应的邮件正文中，发件IP同样是UNC链接中的IP。


攻击目标是一家波兰军火商（PIT-RADWAR SA）。


而发件邮箱则属于一家印度银行（COASTAL BANK），猜测印度可能也已经被攻击了。


可以看到该银行使用的是webmail邮箱。


​三、漏洞攻击信息汇总

这里结合微软发布的通告[4]及奇安信威胁情报中心的扩展，对目前关于CVE-2023-23397漏洞攻击信息的汇总如下。

攻击IP	IP属地	设备信息	相关时间	受害者
5.199.162[.]13:http://443sourcescdn.net	立陶宛	VPS	发件时间2022-03-18样本上传时间2022-04-01	乌克兰国家移民局
77.243.181[.]10:http://443globalnewsnew.com	德国	VPS	2022-04-01之前
45.138.87[.]250:http://443ceriossl.info	罗马尼亚	VPS	2022-04-01之前
101.255.119[.]42	印度尼西亚	Ubiquiti-EdgeRouter	发件时间2022-04-14样本上传时间2022-04-14	罗马尼亚外交部
213.32.252[.]221	伊拉克	Ubiquiti-EdgeRouter	发件时间2022-09-29样本上传时间2022-09-29	波兰军火商PIT-RADWAR SA发件邮箱为印度银行Coastal Bank
168.205.200[.]55	巴西	Ubiquiti-EdgeRouter
185.132.17[.]160	瑞士	Ubiquiti-EdgeRouter
69.162.253[.]21	美国	Ubiquiti-EdgeRouter
113.160.234[.]229	越南	Ubiquiti-EdgeRouter	发件时间2022-12-29样本上传时间2022-12-29	土耳其国防科技公司STM
181.209.99[.]204	阿根廷	Ubiquiti-EdgeRouter
82.196.113[.]102	瑞典	Ubiquiti-EdgeRouter
85.195.206[.]7	瑞士	Ubiquiti-EdgeRouter
61.14.68[.]33	新加坡	Ubiquiti-EdgeRouter

可以看到攻击的最早时间大致是在2022年3~4月，早期用于恶意邮件发送的都是VPS，漏洞触发后回连的UNC地址也是同一台VPS。在2022年4月14日之后，所有的攻击C2都替换成了Ubiquiti-EdgeRouter路由器。
这里我们搜索了一下，发现该路由器比较重要的漏洞为2021年8月ZDI对外披露的CVE-2021-22909，攻击者可以通过MITM中间人攻击下发恶意固件，从而实现代码执行。


但是在Outlook提权漏洞的系列攻击中，攻击者是否使用该路由器漏洞还不得而知。
四、总结

在CVE-2023-23397漏洞的系列攻击中，攻击者使用的C2服务器包括了多个地区被攻陷的路由器设备，实际攻击目标覆盖乌克兰、罗马尼亚、波兰、土耳其等。从受害者所属地域上看，国外安全研究员关于攻击者疑似为APT28的推论有一些道理，但是在有更多的确凿证据之前，奇安信威胁情报中心对此归属依然持保留态度。
我们暂未发现国内受到相关攻击活动影响，不过奇安信红雨滴团队仍在此提醒广大用户，切勿打开社交媒体分享的来历不明的链接，不点击执行未知来源的邮件附件，不运行夸张标题的未知文件，不安装非正规途径来源的APP。做到及时备份重要文件，更新安装补丁。
若需运行，安装来历不明的应用，可先通过奇安信威胁情报文件深度分析平台（https://sandbox.ti.qianxin.com/sandbox/page）进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天守、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。



​​​​