Microsoft 上周晚些时候分享了一个新的 MS Office 零日漏洞 （CVE-2024-38200），攻击者可以利用该漏洞来获取用户的 NTLM 哈希值。

该漏洞可远程利用，无需特殊权限或用户交互即可触发。

该公司表示：“在基于Web的攻击场景中，攻击者可以托管一个网站（或利用一个接受或托管用户提供的内容的受感染网站），其中包含一个旨在利用该漏洞的特制文件。

“但是，攻击者无法强迫用户访问该网站。相反，攻击者必须诱使用户单击链接，通常是通过电子邮件或即时通讯消息中的诱饵，然后诱使用户打开特别构建的文件。

关于CVE-2024-38200

CVE-2024-38200 由 PrivSec Consulting 的网络安全研究人员 Jim Rush 和 Synack Red Team 的 Metin Yunus Kandemir 私下报告给 Microsoft，被归类为欺骗漏洞。

一旦攻击者获得受害者的 NTLM 哈希，他们就可以将其中继到另一个服务并作为受害者进行身份验证（即，执行身份验证中继攻击）。

尽管还没有准备好明确的修复方法，但Microsoft还是公开了该漏洞，因为Rush和同事Tomais Williamson计划在周六的DEF CON上谈论它。

修复和缓解措施

CVE-2024-38200 影响以下各项的 64 位和 32 位版本：

• Microsoft Office 2016
• Microsoft Office 2019
• Microsoft Office LTSC 2021 和
• Microsoft 365 企业应用

这些的最终修复将于明天，即 2024 年 8 月补丁星期二准备好。

但用户不容易受到利用，因为 Microsoft 已于 2024 年 7 月 30 日通过 Feature Flighting 实施了替代修复。（功能外部测试是一个过程，通过功能标志以受控方式推出特定产品功能。

“客户已经在 Microsoft Office 和 Microsoft 365 的所有受支持版本上受到保护，”Microsoft 表示，但敦促他们“仍更新到 2024 年 8 月 13 日的更新，以获取修复的最终版本”。

该公司还概述了几个缓解因素，其中包括：限制传出 NTLM 流量到远程服务器、将用户添加到受保护用户安全组以及阻止来自端口 TCP 445 的出站流量。

NTLM（如果已正式弃用）

NT LAN Manager （NTLM） 是 Microsoft 提供的一套用于用户身份验证的旧安全协议，但它已被正式弃用，取而代之的是 Kerberos。

“NTLM 的使用将在 Windows Server 的下一个版本和 Windows 的下一个年度版本中继续工作。对 NTLM 的调用应该被对 Negotiate 的调用所取代，后者将尝试使用 Kerberos 进行身份验证，并且仅在必要时回退到 NTLM，“Microsoft 解释说。

该公司定期修复允许攻击者窃取或中继 NTLM 哈希的漏洞。