Компания Varonis, специализирующаяся на кибербезопасности, обнаружилановую уязвимость в продуктах Microsoft, а также несколько методов атаки, позволяющих злоумышленникам получить хэши паролей пользователей.
Уязвимость под идентификатором CVE-2023-35636 затрагивает функцию общего доступа к календарю в Outlook и имеет оценку “важная” (6.5 баллов по шкале CVSS). С её помощью атакующий может отправить пользователю специально сформированное письмо, которое заставит Outlook подключиться к контролируемому хакером серверу и передать ему хэш NTLM v2 для аутентификации.
NTLM v2 – это протокол, используемый для аутентификации пользователей на удалённых серверах. Хэш пароля пользователя NTLM v2 может быть ценным для злоумышленников, поскольку они могут либо запустить атаку методом перебора и получить пароль в виде открытого текста, либо использовать хэш для аутентификации напрямую.
Microsoft устранила CVE-2023-35636 в рамках внеплановых обновлений безопасности в декабре 2023 года, однако некоторые методы атаки, с помощью которых злоумышленники тоже могут заполучить хэш аутентификации, всё ещё работают.
Так, один из выявленных методов использует Windows-утилиту “Анализатор производительности” (Windows Performance Analyzer, WPA), которая часто используется разработчиками. Исследователи обнаружили, что для обработки ссылок, связанных с WPA, используется специальный идентификатор https://www.example.com/index.html
URN (Uniform Resource Name) – уникальное имя ресурса без привязки к его местоположению и способу доступа. URN позволяет однозначно идентифицировать ресурс независимо от того, где он находится в сети. Пример URN: urn:isbn:0451450523
URI является важным концептом для работы интернета и веб-разработки. Благодаря URI мы можем легко обмениваться ссылками, обращаться к веб-страницам, загружать файлы и взаимодействовать с различными сервисами в цифровой среде.