SOS :: Security Operation Space
11 декабря, вторник, 00:00
|
Hot News:

Microsoft закрыла уязвимость Outlook апрельским патчем

17 апреля 2018 г., вторник, 12:24

Разработка исправления заняла у компании больше года, но эксперты CERT уверены, что проблема решена лишь частично.

Microsoft закрыла брешь в безопасности Outlook спустя год после ее обнаружения. Обновление было выпущено в апрельский «вторник патчей» вместе с исправлениями для 66 других уязвимостей.

Баг в защите Outlook позволял киберпреступникам узнавать IP-адрес жертвы, имя домена, хоста и учетной записи Windows, а также хэш пароля. При помощи этой информации злоумышленники способны в короткий срок получить доступ к данным пользователя, даже будучи офлайн. Уязвимость CVE-2018-0950 обнаружил аналитик Компьютерной группы реагирования на чрезвычайные ситуации (CERT) Уилл Дорманн (Will Dormann) еще в ноябре 2016 года. В отчете CERT отмечается, что помимо кражи личных данных ее эксплуатация в комбинации с брешью CVE-2017-0016 может вызвать «синий экран смерти».

Особенность угрозы в том, что получателю письма не нужно совершать никаких активных действий — жертве достаточно увидеть превью сообщения с RTF-вложением злоумышленников, содержащим удаленный OLE-объект. Технология OLE (Object Linking and Embedding) создана для обмена данными между приложениями. Уязвимая версия Outlook не проверяла такие данные и не уведомляла пользователя об их подключении.

Компания Microsoft давно борется с автозагрузкой внешних элементов в связи с угрозой утечки личных данных и запуска вредоносного кода. Даже если речь идет об обычном изображении, есть опасность стать жертвой веб-бага, позволяющего следить за получателем. Поэтому программы Word и Outlook запрашивают разрешение пользователя на демонстрацию сторонних объектов. Однако, как выяснил исследователь, эта защита не работает, если письмо содержит файл RTF с OLE, который Дорманн назвал «веб-багом на стероидах».

Аналитик использовал SMB-протокол для получения доступа к удаленному объекту, внедренному в документ, который благодаря этому подгружался, как если бы он хранился на собственном компьютере Дорманна.

Затем при помощи бесплатного анализатора трафика Wireshark исследователь узнавал IP-адрес, имя домена и пользователя, а также хэш паролей диспетчера локальной сети (NTLMv2) и Windows. Расшифровать ключи исследователю удалось элементарным брутфорсом.

Апрельский патч запретил Outlook автоматически запускать SMB-протокол при предварительном просмотре сообщений с RTF-файлами, однако специалисты CERT считают, что этого может быть недостаточно. По их мнению, несмотря на то, что обновление предотвращает утечку данных без вмешательства пользователя, есть множество способов заставить его «помочь» мошенникам. Например, встречающиеся в письмах UNC-ссылки (UNC link) вроде \ComputerNameShared Folder автоматически преобразуются в активные. Нажав на такую ссылку, получатель может запустить удаленный объект даже при пропатченной уязвимости CVE-2018-0950.

В качестве мер безопасности аналитики CERT рекомендуют использовать более сложные и устойчивые к взлому пароли, а также запретить диспетчеру локальной сети Windows (NT LAN Manager) применять технологию единого входа.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
11:15
10:51
10:15
09:15
09:15
09:15
08:15
07:15
06:15
06:15
05:20
18:15
17:15
16:27
14:25
14:15
14:15
14:01


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.173
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.