Săptămâna trecută au fost făcute publice detalii despre o vulnerabilitate importantă din Microsoft Outlook pentru care Microsoft a lansat un fel de patch luna trecută, la mai bine de 18 luni de când a primit detalii despre problemă. Vulnerabilitatea în cauză, CVE-2018-0950 poate permite unui atacator să fure informații confidențiale, incluzând aici contul și parola de login, prin simpla previzualizare în Microsoft Outlook a unui mesaj special conceput, fără niciun fel de altă interacțiune.
Will Dormann de la CERT Coordination Center (CERT/CC) este cel ce a descoperit problema legată de modul în care Microsoft Outlook afișează conținutul OLE remote, atunco când mesajele email RTF sunt deschise – proces în care se realizează automat o autentificare SMB.
Un atacator poate să exploateze această problemă, trimițând un email în format RTF, special conceput, care să afișeze o imagine găzduită pe site-ul atacatorului – în acest fel să se genereze o autentificare SMB, pentru care să se poată salva datele de conectare pe protocolul SMB, folosind single sign-on – în acest moment atacatorul are contul utilizatorului și parola NTLMv2 (nu e în clear text, dar fiind un hash sunt șanse mari ca ea să poată fi ghicită).
Teoretic, suprapunând hash-ul parolei peste o bază de date cu hash-uri NTMLv2, e posibil să se obțină parola, ce ulterior poate să fie folosită împreună cu contul de utilizator.
”Problema face ca adresa de IP, domeniul, numele sistemului, contul și parola în hash să ajungă în mâinile unui atacator, iar dacă parola nu este complexă, acesta să poată sparge într-un timp relativ scurt”.
Dormann a raportat problema către Microsoft în noiembrie 2016, dar numai săptămâna trecută a ieșit un patch parțial, la o distanță enormă de momentul raportării. Este blocată opțiunea de conectare SMB via Outlook, atunci când se afișează un preview al email-ului ce conține obiecte OLE, dar nu și în alte cazuri. Asta face ca anumite tipuri de atacuri să fie încă posibile.
În aceste condiții, dacă nu ați pus încă patch-urile de marțea trecută, vă invit să le instalați rapid. Sunt doar vreo 62 pentru Windows 10 Fall Creators Update. Și dacă folosiți Outlook, atunci poate că ar fi indicat să mai faceți alte câteva setări:
– blocați porturile (445/tcp, 137/tcp, 139/tcp, 137/udp și139/udp) pentru conexiuni SMB.
– blocați autentificarea NT LAN Manager (NTLM) Single Sign-on (SSO).
– folosiți parole complexe
– și nu în ultimul rând, nu deschideți nici măcar în preview email-uri pe care nu le-ați solicitat.
via THN
