Akamai发现Windows新漏洞，收到附加音频文件Outlook信件就可能遭受RCE攻击

育碧 • 2023年12月20日 10:36 • 投稿

Akamai研究人员在Windows中新发现两个漏洞，分别是CVE-2023-35384与CVE-2023-36710，攻击者可以连结这两个漏洞，针对Outlook用户展开零点击远程代码执行（Remote Code Execution，RCE）攻击。目前微软已经在2023年8月和10月发布修补代码，用户只要安装10月软件更新，即可免受漏洞影响。

Akamai揭露的零点击远程代码执行攻击，起源于今年3月的微软更新，当时微软针对CVE-2023-23397漏洞进行修补。该漏洞主要被黑客集团Forest Blizzard滥用，通过诱导Outlook客户端连接到攻击者的服务器，并在连接过程传送NTLM凭证给攻击者。之后攻击者便可以离线破解凭证，或是将凭证用于中继攻击。

这个漏洞的特色在于，攻击者无需用户参与，就能通过互联网远程发动攻击。要滥用CVE-2023-23397漏洞，攻击者会先发送一封精心设计，带有自动通知声音的提醒电子邮件，Outlook客户端在收到信件之后，便会从攻击者控制的服务器下载特殊的音频文件。虽然微软在3月的更新中修补了该漏洞，但是Akamai研究人员却又发现了能够绕过修补程序的方法，并且指出该Outlook功能引入了巨大且复杂的攻击面。

通过结合新发现的CVE-2023-35384与CVE-2023-36710，研究人员成功在Outlook上实现出完整的远程程式码执行攻击链。 CVE-2023-35384在这个攻击链扮演关键角色，其牵涉Outlook中CreateFile和MapUrlToZone两个函式在路径解析的差异，研究人员利用这两个函式对特定路径的处理差异绕过安全检查，迫使Outlook客户端连接到恶意服务器，而且这个方法也成功绕过微软之前的修补。

而CVE-2023-36710则是一个存在于音频压缩管理器（ACM）代码中的整数溢位漏洞。当播放WAV文件的时候，ACM便会呼叫msacm32.drv中的mapWavePrepareHeader函式，而这个函式存在一个整数溢位漏洞，由于在向GlobalAlloc传递加法结果时并没有先检查溢位，这使得攻击者可以通过特定方式让GlobalAlloc分配一个非常小的缓冲区，并使这个缓冲区溢位，进而可执行任意代码。

通过利用CVE-2023-35384建立的连接，攻击者能够传送特制的WAV文件到受害者的系统中，接着利用CVE-2023-36710中的漏洞来执行任意程式码，这两个漏洞共同构成了一个完整的攻击链，允许攻击者远程控制受影响的系统。

Windows用户只要安装2023年10月的软件更新即可受保护，而使用Exchange服务器的Outlook客户端，则在安装2023年3月的软件更新后，可免受漏洞影响。尽管这些漏洞都已经修复了，但研究人员指出，由于Outlook的攻击面仍然存在，攻击者还是可以继续从该攻击面中找到新漏洞。