微软发布了一份新指南，以帮助用户确定威胁性演员是否试图通过利用其Outlook电子邮件客户端中的最近修补的零日漏洞来窃取敏感数据。

　　该漏洞被跟踪为CVE-2023-23397，它被描述为窗户上的特权升级安全缺陷，使威胁参与者可以偷走NTLM哈希，而不会受害者在端点的一边互动。该攻击称为NTLM-RELAY零单击攻击。

　　Tarlogic将NTLM哈希描述为“ CryptogrPahic格式”，其中Windows存储用户密码。这些哈希存储在域控制器的安全客户经理（SAM）或NTDS文件中。它说：“它们是用于通过不同的通信协议对用户进行身份验证的机制的基本组成部分。”

　　你可能喜欢

　　Microsoft修复了Power Pages安全缺陷，告诉用户保持警惕

　　黑客利用零日公共日志文件系统易受赎金软件的脆弱性

　　微软刚刚修补了许多令人担忧的安全问题，所以立即更新

　　剥削的多个迹象

　　为了利用缺陷并窃取这些哈希，威胁性演员可以发送带有扩展MAPI属性的专门精心制作的消息。这些将包含UNC路径（通用命名约定路径，用于访问网络资源的通用路径），以攻击器控制的服务器消息块（SMB）共享。

　　现在，回到微软所做的事情-Redmond Software巨头声称，IT团队可以分析的多种剥削迹象：来自防火墙，代理，VPN工具，RDP网关日志，Azure Active Directory Directory Directory Directory Directory在线用户或IIS logs for Exchange Server的遥测数据。阅读更多

　　>微软的最新补丁星期二在这里 - 修复了许多缺陷，有些“关键”

　　>一个新的Microsoft Exchange缺陷被用于攻击服务器

　　>这是我们对最好的防火墙的破产

　　他们还可以从端点检测和响应解决方案中查找Windows事件日志之类的数据或遥测数据。Microsoft总结说，威胁参与者通常会针对Exchange EWS/OWA用户，并寻求更改邮箱文件夹权限以授予自己持久的访问权限，这也是团队所能寻找的。

　　Microsoft事件响应团队说：“要解决此漏洞，您必须安装Outlook安全更新，无论您的邮件托管何处（例如，在线交换，Exchange Server，其他一些平台）或您的组织对NTLM身份验证的支持。”

　　你是专业人士吗？订阅我们的新闻通讯

　　注册techradar Pro新闻通讯，以获取您的业务成功所需的所有首选，意见，功能和指导！取得成功！请与我联系我们的其他未来品牌的新闻，并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息，您同意您同意的条款和隐私政策，并年龄在16岁或超过16岁之间。

　　最后，该公司还发布了一个脚本，该脚本有助于管理过程自动化流程，并确定任何交换用户是否受到损害。这些是目前最好的端点安全提供商

　　通过：BleepingComputer