Устраненная уязвимость безопасности в Microsoft Outlook может быть использована злоумышленниками для доступа к хешированным паролям NT LAN Manager (NTLM) v2 при открытии специально созданного файла.
NTLM v2 – это протокол, используемый для аутентификации пользователей на удалённых серверах. Хэш пароля пользователя NTLM v2 может быть ценным для злоумышленников, поскольку они могут либо запустить атаку методом перебора и получить пароль в виде открытого текста, либо использовать хэш для аутентификации напрямую.
Проблема, отслеживаемая как CVE-2023-35636(оценка CVSS: 6.5), была устранена Microsoft в рамках внеплановых обновлений безопасности в декабре 2023 года. Согласно заявлениюMicrosoft, недостаток работает следующим образом:
- в сценарии атаки по электронной почте киберпреступник может воспользоваться уязвимостью, отправив пользователю специально созданный файл и убедив его открыть файл;
- в сценарии веб-атаки злоумышленник может разместить веб-сайт (или использовать взломанный веб-сайт, который принимает или размещает предоставленный пользователем контент), содержащий специально созданный файл, предназначенный для использования уязвимости.
Иными словами, атакующему нужно убедить жертву перейти по ссылке, встроенной в фишинговое электронное письмо или отправленной через сообщение, а затем обманом заставить её открыть соответствующий файл.
CVE-2023-35636 затрагивает функцию общего доступа к календарю в Outlook, в которой вредоносное электронное письмо создается путем вставки двух заголовков “Content-Class” и “x-sharing-config-url” со специально созданными значениями по порядку, чтобы раскрыть NTLM-хэш жертвы во время аутентификации. Письмо заставляет Outlook подключиться к серверу хакера и передать ему хэш NTLM v2 для аутентификации.
Исследователь безопасности Varonis Долев Талер, которому приписывают обнаружение и сообщение об ошибке, сказал, что утечка хэшей NTLM может произойти при использовании анализатора производительности Windows (Windows Performance Analyzer, WPA) и проводника Windows. Однако эти два метода атаки остались без исправлений.
Талер отметил, что WPA пытается аутентифицироваться с использованием NTLM v2 через открытую сеть. Обычно NTLM v2 следует использовать при попытке аутентификации во внутренних службах на основе IP-адреса. Однако, когда хэш NTLM v2 проходит через открытый Интернет, он уязвим для атак ретрансляции и автономных атак методом перебора.
Данный инцидент служит напоминанием как для частных лиц, так и для организаций о необходимости оставаться бдительными, регулярно обновлять ПО и быть осторожными с подозрительными электронными письмами и файлами. Ситуация также подчеркивает необходимость наличия надежных протоколов безопасности и постоянного мониторинга систем для своевременного обнаружения и устранения подобных уязвимостей.