Varonis рассказала, как хакеры могут украсть ваш пароль Outlook с помощью одного файла.
Устраненная уязвимость безопасности в Microsoft Outlook может быть использована злоумышленниками для доступа к хешированным паролям NT LAN Manager ( NTLM ) v2 при открытии специально созданного файла.
NTLM v2 — это протокол, используемый для аутентификации пользователей на удалённых серверах. Хэш пароля пользователя NTLM v2 может быть ценным для злоумышленников, поскольку они могут либо запустить атаку методом перебора и получить пароль в виде открытого текста, либо использовать хэш для аутентификации напрямую.
Проблема, отслеживаемая как Для просмотра ссылки Войдиили Зарегистрируйся (оценка CVSS: 6.5), была устранена Microsoft в рамках внеплановых обновлений безопасности в декабре 2023 года. Согласно Для просмотра ссылки Войди или Зарегистрируйся Microsoft, недостаток работает следующим образом:
Иными словами, атакующему нужно убедить жертву перейти по ссылке, встроенной в фишинговое электронное письмо или отправленной через сообщение, а затем обманом заставить её открыть соответствующий файл.
CVE-2023-35636 Для просмотра ссылки Войдиили Зарегистрируйся в Outlook, в которой вредоносное электронное письмо создается путем вставки Для просмотра ссылки Войди или Зарегистрируйся «Content-Class» и «x-sharing-config-url» со специально созданными значениями по порядку, чтобы раскрыть NTLM-хэш жертвы во время аутентификации. Письмо заставляет Outlook подключиться к серверу хакера и передать ему хэш NTLM v2 для аутентификации.
Исследователь безопасности Varonis Долев Талер, которому приписывают обнаружение и сообщение об ошибке, сказал, что утечка хэшей NTLM Для просмотра ссылки Войдиили Зарегистрируйся при использовании анализатора производительности Windows (Windows Performance Analyzer, WPA) и проводника Windows. Однако эти два метода атаки остались без исправлений.
Талер отметил, что WPA пытается аутентифицироваться с использованием NTLM v2 через открытую сеть. Обычно NTLM v2 следует использовать при попытке аутентификации во внутренних службах на основе IP-адреса. Однако, когда хэш NTLM v2 проходит через открытый Интернет, он уязвим для атак ретрансляции и автономных атак методом перебора.
Данный инцидент служит напоминанием как для частных лиц, так и для организаций о необходимости оставаться бдительными, регулярно обновлять ПО и быть осторожными с подозрительными электронными письмами и файлами. Ситуация также подчеркивает необходимость наличия надежных протоколов безопасности и постоянного мониторинга систем для своевременного обнаружения и устранения подобных уязвимостей.
Устраненная уязвимость безопасности в Microsoft Outlook может быть использована злоумышленниками для доступа к хешированным паролям NT LAN Manager ( NTLM ) v2 при открытии специально созданного файла.
NTLM v2 — это протокол, используемый для аутентификации пользователей на удалённых серверах. Хэш пароля пользователя NTLM v2 может быть ценным для злоумышленников, поскольку они могут либо запустить атаку методом перебора и получить пароль в виде открытого текста, либо использовать хэш для аутентификации напрямую.
Проблема, отслеживаемая как Для просмотра ссылки Войди
- в сценарии атаки по электронной почте киберпреступник может воспользоваться уязвимостью, отправив пользователю специально созданный файл и убедив его открыть файл;
- в сценарии веб-атаки злоумышленник может разместить веб-сайт (или использовать взломанный веб-сайт, который принимает или размещает предоставленный пользователем контент), содержащий специально созданный файл, предназначенный для использования уязвимости.
Иными словами, атакующему нужно убедить жертву перейти по ссылке, встроенной в фишинговое электронное письмо или отправленной через сообщение, а затем обманом заставить её открыть соответствующий файл.
CVE-2023-35636 Для просмотра ссылки Войди
Исследователь безопасности Varonis Долев Талер, которому приписывают обнаружение и сообщение об ошибке, сказал, что утечка хэшей NTLM Для просмотра ссылки Войди
Талер отметил, что WPA пытается аутентифицироваться с использованием NTLM v2 через открытую сеть. Обычно NTLM v2 следует использовать при попытке аутентификации во внутренних службах на основе IP-адреса. Однако, когда хэш NTLM v2 проходит через открытый Интернет, он уязвим для атак ретрансляции и автономных атак методом перебора.
Данный инцидент служит напоминанием как для частных лиц, так и для организаций о необходимости оставаться бдительными, регулярно обновлять ПО и быть осторожными с подозрительными электронными письмами и файлами. Ситуация также подчеркивает необходимость наличия надежных протоколов безопасности и постоянного мониторинга систем для своевременного обнаружения и устранения подобных уязвимостей.
- Источник новости
- www.securitylab.ru