События

Обновление от Microsoft лишь наполовину исправляет уязвимость в Outlook

С выходом плановых ежемесячных обновлений безопасности 10 апреля текущего года Microsoft также выпустила патч для старой уязвимости в Outlook, известной еще с 2016 года. Тем не менее, просто установить обновление для полного исправления уязвимости недостаточно, и необходимо принять дополнительные меры.

Речь идет об уязвимости CVE-2018-0950 в сервисе Microsoft Outlook, обнаруженной Уиллом Дорманом (Will Dormann) из Координационного центра CERT. Как пояснил исследователь, проблема заключается в том, что Outlook обрабатывает объекты OLE в электронных письмах формата RTF автоматически, не запрашивая разрешения пользователей, как это происходит в случае с другими приложениями Office (Word, Excel и PowerPoint).

Автоматический рендеринг объектов OLE влечет за собой целый ряд проблем и является популярным вектором для распространения вредоносного ПО. По словам Дормана, путем эксплуатации уязвимости ему удалось похитить пароли пользователей, а точнее, хеши NTLM. Исследователь просто отправил пользователю Outlook электронное письмо с объектом OLE, отправляющим запросы на удаленный вредоносный сервер SMB. Атакуемая ОС Windows автоматически попыталась аутентифицироваться на вредоносном сервере, отправив хеш NTLM пользователя.

Атакующему достаточно лишь получить хеши, взломать их и использовать для проникновения в систему и другие части внутренней сети.

Дорман уведомил производителя об уязвимости в ноябре 2016 года, и спустя 18 месяцев Microsoft выпустила патч. Тем не менее, по словам исследователя, обновление не исправляет главную проблему, а лишь блокирует установку сервисом Outlook SMB-подключения при предпросмотре электронных писем в формате RTF. При этом Outlook по-прежнему не запрашивает у пользователя разрешение на рендеринг объектов OLE.

Как отметил Дорман, существуют и другие пути получения хешей NTLM, например, путем внедрения в электронные письма UNC-ссылок на серверы SMB. Такие ссылки Outlook автоматически делает кликабельными. Если жертва нажмет на подобную ссылку, атакующий сможет проэксплуатировать уязвимость в обход апрельского патча.

Для предотвращения возможной эксплуатации уязвимости рекомендуется заблокировать входящие и исходящие SMB-соединения в границах сети, отключить аутентификацию NTLM Single Sign-on (SSO) и использовать надежные пароли, которые хакеру будет сложно получить путем взлома хешей NTLM.

Источник

Автор: Сергей Куприянов
12.04.2018 (15:07)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.