文章总结: 近期披露的MicrosoftOutlook365攻击技术利用其处理UNC路径的逻辑缺陷,攻击者通过构造含恶意UNC路径的邮件或会议邀请,在受害者预览邮件时自动触发SMB认证,从而秘密窃取Net-NTLMv2哈希。该攻击隐蔽性强且交互要求低,获取的哈希可用于离线破解或NTLM中继攻击,威胁内网安全。建议通过限制SMB出站通信、管控NTLM策略、及时更新补丁及监控异常流量等措施进行防御。 综合评分: 88 文章分类: 漏洞分析,web安全,内网渗透,安全运营,威胁情报
。</p>
<p><img decoding=)
自动触发认证:当 Outlook 尝试预览邮件或处理提醒时,系统会自动尝试访问该路径。
凭据泄露:Windows 系统的 Server Message Block (SMB) 协议会自动发送当前登录用户的 Net-NTLMv2 哈希进行身份验证。
离线破解或中继:攻击者在后台使用 Responder 等工具捕获哈希。随后可以通过暴力破解获取明文密码,或者将其用于 NTLM 中继攻击 以获取内网进一步的访问权限。
风险评估
- 低交互性:在某些配置下,受害者无需点击链接或下载附件,仅需打开预览窗格即可触发泄露。
- 高隐蔽性:由于认证过程发生在系统底层,普通用户难以察觉异常。
- 潜在影响:成功获取哈希后,攻击者可尝试攻破员工个人账号,甚至以此为跳板实现域渗透(Domain Compromise)。
技术分析:为什么 NTLM 依然危险?
尽管微软一直在推动更安全的身份验证协议(如 Kerberos),但 NTLM 为了兼容性在 Windows 环境中仍然广泛存在。
| 攻击环节 | 关键技术点 | | — | — | | 触发媒介 | Outlook 会议提醒声、嵌入式图标或远程加载资源。 | | 泄露内容 | 包含用户名、域名及加密挑战响应的 Net-NTLMv2 数据包。 | | 攻击场景 | 针对企业高管或运维人员的定向鱼叉式攻击(Spear Phishing)。 |
防御与缓解建议
为了应对此类威胁,建议安全团队立即采取以下措施:
- 限制 SMB 出站通信:在防火墙层面封禁 TCP 445 端口的外网出站连接,防止凭据流向互联网。
- 实施 NTLM 策略管控:通过组策略(GPO)限制 NTLM 认证的使用,或将用户加入“受保护的用户”组(Protected Users Group)。
- 强化补丁管理:确保 Office 365 及 Windows 系统更新至最新版本,以修复已知的远程资源加载漏洞。
- 监控异常流量:利用 IDS/IPS 监控内网向外部异常 IP 发起的 SMB 请求。
ExtremeHack 总结:
此类攻击再次证明,即使是成熟的办公软件,其自动化的便利性也可能成为安全短板。对于信息安全从业者而言,监控 UNC 路径的异常调用以及收紧 NTLM 认证协议是当前防御体系中的重中之重。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:黑白之道 ExtremeHack ExtremeHack《攻击者利用 Outlook 365 漏洞强制截获 NTLM 哈希》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论