微软发布了新的 MS Office 零日漏洞 CVE-2024-38200，攻击者可以利用该漏洞获取用户的 NTLM 哈希值。该漏洞可远程利用，无需特殊权限或用户交互即可触发，攻击者可以通过诱使用户点击链接并打开特别构建的文件来获取 NTLM 哈希值。一旦攻击者获得受害者的 NTLM 哈希，他们就可以将其中继到另一个服务并作为受害者进行身份验证。微软已经发布了替代修复措施，但建议用户更新到 2024 年 8 月 13 日的更新，以获取最终修复版本。

😨 该漏洞影响了 Microsoft Office 2016、2019、LTSC 2021 和 Microsoft 365 企业应用的 64 位和 32 位版本。 攻击者可以利用该漏洞获取用户的 NTLM 哈希值，进而进行身份验证中继攻击。该漏洞可远程利用，无需特殊权限或用户交互即可触发。攻击者可以通过诱使用户点击链接并打开特别构建的文件来获取 NTLM 哈希值。 微软已经发布了替代修复措施，但建议用户更新到 2024 年 8 月 13 日的更新，以获取最终修复版本。

🛡️ 微软建议用户采取一些缓解措施，例如限制传出 NTLM 流量到远程服务器、将用户添加到受保护用户安全组以及阻止来自端口 TCP 445 的出站流量。 此外，微软还建议用户将 NTLM 身份验证替换为 Kerberos 身份验证，以提高安全性。

⚠️ NTLM 是一种旧的安全协议，已经被正式弃用，但微软仍然支持 NTLM 身份验证。微软建议用户使用更安全的 Kerberos 身份验证，并定期更新系统以修复漏洞。 微软定期修复允许攻击者窃取或中继 NTLM 哈希的漏洞。用户应及时更新系统以获取最新的安全补丁。

🚀 微软已经发布了替代修复措施，并建议用户更新到 2024 年 8 月 13 日的更新，以获取最终修复版本。 用户应及时更新系统以获取最新的安全补丁。

🌐 该漏洞是由 PrivSec Consulting 的网络安全研究人员 Jim Rush 和 Synack Red Team 的 Metin Yunus Kandemir 私下报告给 Microsoft 的，被归类为欺骗漏洞。 微软已经发布了替代修复措施，并建议用户更新到 2024 年 8 月 13 日的更新，以获取最终修复版本。

🤝 微软已于 2024 年 7 月 30 日通过 Feature Flighting 实施了替代修复。 用户应及时更新系统以获取最新的安全补丁。

💻 该漏洞影响了 Microsoft Office 2016、2019、LTSC 2021 和 Microsoft 365 企业应用的 64 位和 32 位版本。 用户应及时更新系统以获取最新的安全补丁。

🔐 微软建议用户采取一些缓解措施，例如限制传出 NTLM 流量到远程服务器、将用户添加到受保护用户安全组以及阻止来自端口 TCP 445 的出站流量。 用户应及时更新系统以获取最新的安全补丁。

🛡️ 微软建议用户将 NTLM 身份验证替换为 Kerberos 身份验证，以提高安全性。 用户应及时更新系统以获取最新的安全补丁。

⚠️ NTLM 是一种旧的安全协议，已经被正式弃用，但微软仍然支持 NTLM 身份验证。 用户应及时更新系统以获取最新的安全补丁。

Microsoft 上周晚些时候分享了一个新的 MS Office 零日漏洞 （CVE-2024-38200），攻击者可以利用该漏洞来获取用户的 NTLM 哈希值。该漏洞可远程利用，无需特殊权限或用户交互即可触发。该公司表示：“在基于Web的攻击场景中，攻击者可以托管一个网站（或利用一个接受或托管用户提供的内容的受感染网站），其中包含一个旨在利用该漏洞的特制文件。“但是，攻击者无法强迫用户访问该网站。相反，攻击者必须诱使用户单击链接，通常是通过电子邮件或即时通讯消息中的诱饵，然后诱使用户打开特别构建的文件。关于CVE-2024-38200CVE-2024-38200 由 PrivSec Consulting 的网络安全研究人员 Jim Rush 和 Synack Red Team 的 Metin Yunus Kandemir 私下报告给 Microsoft，被归类为欺骗漏洞。一旦攻击者获得受害者的 NTLM 哈希，他们就可以将其中继到另一个服务并作为受害者进行身份验证（即，执行身份验证中继攻击）。尽管还没有准备好明确的修复方法，但Microsoft还是公开了该漏洞，因为Rush和同事Tomais Williamson计划在周六的DEF CON上谈论它。修复和缓解措施CVE-2024-38200 影响以下各项的 64 位和 32 位版本：Microsoft Office 2016Microsoft Office 2019Microsoft Office LTSC 2021 和Microsoft 365 企业应用这些的最终修复将于明天，即 2024 年 8 月补丁星期二准备好。但用户不容易受到利用，因为 Microsoft 已于 2024 年 7 月 30 日通过 Feature Flighting 实施了替代修复。（功能外部测试是一个过程，通过功能标志以受控方式推出特定产品功能。“客户已经在 Microsoft Office 和 Microsoft 365 的所有受支持版本上受到保护，”Microsoft 表示，但敦促他们“仍更新到 2024 年 8 月 13 日的更新，以获取修复的最终版本”。该公司还概述了几个缓解因素，其中包括：限制传出 NTLM 流量到远程服务器、将用户添加到受保护用户安全组以及阻止来自端口 TCP 445 的出站流量。NTLM（如果已正式弃用）NT LAN Manager （NTLM） 是 Microsoft 提供的一套用于用户身份验证的旧安全协议，但它已被正式弃用，取而代之的是 Kerberos。“NTLM 的使用将在 Windows Server 的下一个版本和 Windows 的下一个年度版本中继续工作。对 NTLM 的调用应该被对 Negotiate 的调用所取代，后者将尝试使用 Kerberos 进行身份验证，并且仅在必要时回退到 NTLM，“Microsoft 解释说。该公司定期修复允许攻击者窃取或中继 NTLM 哈希的漏洞。