Теперь исправленная брешь в системе безопасности Microsoft Outlook может быть использована злоумышленниками для доступа к хэшированным паролям NT LAN Manager (NTLM) v2 при открытии специально созданного файла.
Проблема, отслеживаемая как CVE-2023-35636 (оценка CVSS: 6.5), была устранена технологическим гигантом в рамках его обновлений во вторник за декабрь 2023 года.
"В сценарии атаки по электронной почте злоумышленник может воспользоваться уязвимостью, отправив пользователю специально созданный файл и убедив пользователя открыть файл", - заявила Microsoft в рекомендации, опубликованной в прошлом месяце.
В сценарии веб-атаки злоумышленник может разместить веб-сайт (или использовать скомпрометированный веб-сайт, который принимает или размещает контент, предоставленный пользователем), содержащий специально созданный файл, предназначенный для использования уязвимости."
Иными словами, злоумышленнику пришлось бы убедить пользователей перейти по ссылке, либо встроенной в фишинговое электронное письмо, либо отправленной с помощью мгновенного сообщения, а затем обманом заставить их открыть соответствующий файл.
CVE-2023-35636 основан на функции обмена календарями в почтовом приложении Outlook, в котором вредоносное электронное сообщение создается путем вставки двух заголовков "Content-Class" и "x-sharing-config-url" с обработанными значениями, чтобы раскрыть хэш NTLM жертвы во время аутентификации.
Исследователь безопасности Varonis Долев Талер, которому приписывают обнаружение ошибки и сообщение об ней, сказал, что утечка хэшей NTLM могла произойти с использованием анализатора производительности Windows (WPA) и проводника файлов Windows. Однако эти два метода атаки остаются неиспользованными.
"Что делает это интересным, так это то, что WPA пытается пройти аутентификацию с использованием NTLM v2 через открытый Интернет", - сказал Талер.
"Обычно NTLM v2 следует использовать при попытке аутентификации во внутренних службах на основе IP-адресов. Однако, когда хэш NTLM v2 проходит через открытый Интернет, он уязвим для ретрансляционных и автономных атак методом перебора."
Раскрытие происходит после того, как Check Point выявила случай "принудительной аутентификации", которая может быть использована для утечки токенов NTLM пользователя Windows путем обмана жертвы с целью открытия поддельного файла Microsoft Access.
В октябре 2023 года Microsoft объявила о планах отказаться от NTLM в Windows 11 в пользу Kerberos для повышения безопасности из-за того, что он не поддерживает криптографические методы и подвержен ретрансляционным атакам.
Проблема, отслеживаемая как CVE-2023-35636 (оценка CVSS: 6.5), была устранена технологическим гигантом в рамках его обновлений во вторник за декабрь 2023 года.
"В сценарии атаки по электронной почте злоумышленник может воспользоваться уязвимостью, отправив пользователю специально созданный файл и убедив пользователя открыть файл", - заявила Microsoft в рекомендации, опубликованной в прошлом месяце.
В сценарии веб-атаки злоумышленник может разместить веб-сайт (или использовать скомпрометированный веб-сайт, который принимает или размещает контент, предоставленный пользователем), содержащий специально созданный файл, предназначенный для использования уязвимости."
Иными словами, злоумышленнику пришлось бы убедить пользователей перейти по ссылке, либо встроенной в фишинговое электронное письмо, либо отправленной с помощью мгновенного сообщения, а затем обманом заставить их открыть соответствующий файл.
CVE-2023-35636 основан на функции обмена календарями в почтовом приложении Outlook, в котором вредоносное электронное сообщение создается путем вставки двух заголовков "Content-Class" и "x-sharing-config-url" с обработанными значениями, чтобы раскрыть хэш NTLM жертвы во время аутентификации.
Исследователь безопасности Varonis Долев Талер, которому приписывают обнаружение ошибки и сообщение об ней, сказал, что утечка хэшей NTLM могла произойти с использованием анализатора производительности Windows (WPA) и проводника файлов Windows. Однако эти два метода атаки остаются неиспользованными.
"Что делает это интересным, так это то, что WPA пытается пройти аутентификацию с использованием NTLM v2 через открытый Интернет", - сказал Талер.
"Обычно NTLM v2 следует использовать при попытке аутентификации во внутренних службах на основе IP-адресов. Однако, когда хэш NTLM v2 проходит через открытый Интернет, он уязвим для ретрансляционных и автономных атак методом перебора."
Раскрытие происходит после того, как Check Point выявила случай "принудительной аутентификации", которая может быть использована для утечки токенов NTLM пользователя Windows путем обмана жертвы с целью открытия поддельного файла Microsoft Access.
В октябре 2023 года Microsoft объявила о планах отказаться от NTLM в Windows 11 в пользу Kerberos для повышения безопасности из-за того, что он не поддерживает криптографические методы и подвержен ретрансляционным атакам.
