微软发布了一份新指南，帮助用户确定威胁行为者是否试图通过利用其Outlook电子邮件中发现的最近修补的零日漏洞来窃取敏感数据(在新标签页中打开)客户。

该漏洞被跟踪为CVE-2023-23397，它被描述为Windows上的特权升级安全漏洞，允许威胁参与者窃取NTLM哈希值，而受害者无需在他们端点的端点进行交互。该攻击称为NTLM中继零点击攻击。

Tarlogic将NTLM散列描述为Windows存储用户密码的“加密格式”。这些哈希存储在域控制器的安全帐户管理器(SAM)或NTDS文件中。“它们是用于通过不同通信协议对用户进行身份验证的机制的基本组成部分，”它说。

为了利用该漏洞并窃取这些哈希值，攻击者可以发送带有扩展MAPI属性的特制消息。这些将包含UNC路径(通用命名约定路径，用于访问网络资源)到攻击者控制的服务器消息块(SMB)共享。

现在，回到微软的所作所为——这家Redmond软件巨头声称，IT团队可以分析多种利用迹象：来自防火墙、代理、VPN工具的遥测数据、RDP网关日志、ExchangeOnline用户的AzureActiveDirectory登录日志，或ExchangeServer的IIS日志。

他们还可以查找Windows事件日志等数据，或来自端点检测和响应解决方案的遥测数据。微软总结说，威胁行为者通常会以ExchangeEWS/OWA用户为目标，并寻求更改邮箱文件夹权限以授予自己持久访问权限，这也是IT团队可以寻求的。

“要解决此漏洞，您必须安装Outlook安全更新，无论您的邮件托管在何处(例如，ExchangeOnline、ExchangeServer或其他平台)或您的组织是否支持NTLM身份验证，”Microsoft事件响应团队说。

最后，该公司还发布了一个脚本，帮助管理员自动化该过程并确定是否有任何Exchange用户受到威胁。